「漏洞挖掘实战」PPT来了| 一键领取
「漏洞挖掘实战」PPT来了| 一键领取 原创 干货满满的 字节跳动安全中心 2023-12-19 18:12 12月15日,第12期安全范儿技术沙龙「漏洞挖掘与实战」线上圆满结束!来自字节跳动无恒实验室、字节跳动云安全团队、中孚信息元亨实验室、武汉大学的4位安全专家,通过多维度、多视角的漏洞挖掘实战案例为线上的白帽师傅们带来精彩演讲。 安全范儿技术沙龙由字节跳动安全与风控发起,本次沙龙也得到元亨实
继续阅读标签: 漏洞
S2-045远程代码执行漏洞(CVE-2017-5638)
S2-045远程代码执行漏洞(CVE-2017-5638) 巢安实验室 巢安实验室 2023-12-19 18:04 漏洞简介 S2-045(CVE-2017-5638)是指Apache Struts 2框架中存在的一个严重的安全漏洞,该漏洞允许攻击者通过精心构造的恶意请求执行远程代码。这个漏洞的原理涉及到Apache Struts 2框架的文件上传组件(FileUploadInterceptor
继续阅读未然通讯社:WordPress 插件漏洞影响5万余个网站;80%的泄露数据源自云端
未然通讯社:WordPress 插件漏洞影响5万余个网站;80%的泄露数据源自云端 未然实验室 华为安全 2023-12-19 18:02 往期推荐 未然通讯社:HTC Global遭遇勒索攻击;SpyLoan恶意软件Google Play下载量超千万 未然通讯社:即时通信软件Line遭遇数据泄露;国外医疗保健公司二次遭遇勒索攻击 未然通讯社:汽车零部件巨头 AutoZone 遭遇网络攻击;202
继续阅读微软:热门源代码管理平台 Perforce Helix Core Server 中存在RCE漏洞
微软:热门源代码管理平台 Perforce Helix Core Server 中存在RCE漏洞 Bill Toulas 代码卫士 2023-12-19 17:47 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 微软在游戏、政府、军队和技术行业都在使用的源代码管理平台 Perforce Helix Core Server 上发现了四个漏洞,其中一个是严重等级。 微软公司的分析师对该
继续阅读新3年旧3年又3年,堪比 Spring4Shell 的 GWT RCE 漏洞仍无补丁
新3年旧3年又3年,堪比 Spring4Shell 的 GWT RCE 漏洞仍无补丁 Becky Bracken 代码卫士 2023-12-19 17:47 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 距离第一次被发现过了超过8年后,游荡在热门开源应用框架 Google Web Toolkit (GWT) 中的未认证 Java 反序列化漏洞至今仍未被修复,易受攻击的应用可能需要根
继续阅读漏洞通告 | 金蝶Apusic应用服务器远程代码执行漏洞
漏洞通告 | 金蝶Apusic应用服务器远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-12-19 16:59 01 漏洞概况**** 金蝶Apusic应用服务 器(Kingdee Apusic Application Server)是金蝶软件推出的一款企业级Java应用服务器。它提供了一个稳定、高效、可扩展的运行环境,用于部署和管理企业级Java应用程序。 微步漏洞团队监测到
继续阅读上周关注度较高的产品安全漏洞(20231211-20231217)
上周关注度较高的产品安全漏洞(20231211-20231217) 国家互联网应急中心CNCERT 2023-12-19 15:40 一、境外厂商产品漏洞 1、 Linux kernel nft_dynset_init函数拒绝服务漏洞 Linux kernel 是美国 Linux 基金会的开源操作系统 Linux 所使用的内核。 Linux kernel 存在拒绝服务漏洞,该漏洞源于函数 nft_
继续阅读Xstream反序列化漏洞
Xstream反序列化漏洞 白帽子 2023-12-19 00:00 Xstream简介 XStream是Java类库,用来将对象序列化成XML (JSON)或 反序列化 为对象。 说白了就是我们可以将Java对象转换为XML,也可以将XML字符串转换为Java对象。 Xstream反序列化原理 XStream实现了一套序列化和反序列化机制,核心是通过Converter转换器来将XML和对象之间进
继续阅读【Web渗透】暴力破解漏洞
【Web渗透】暴力破解漏洞 Whoami 晨曦安全团队 2023-12-18 23:59 “暴力破解 ”是一种攻击手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具进行自动化操作。理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间
继续阅读I Doc View在线文档预览系统存在任意文件读取漏洞 附POC
I Doc View在线文档预览系统存在任意文件读取漏洞 附POC 南风漏洞复现文库 2023-12-18 23:33 I Doc View在线文档预览系统存在任意文件读取漏洞 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. I Do
继续阅读思福迪Logbase运维安全管理系统test_qrcode_b接口存在远程命令执行漏洞 附POC
思福迪Logbase运维安全管理系统test_qrcode_b接口存在远程命令执行漏洞 附POC 南风漏洞复现文库 2023-12-18 23:33 @[toc] 思福迪Logbase运维安全管理系统test_qrcode_b接口存在远程命令执行漏洞 附POC 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人
继续阅读Windows客户端漏洞挖掘(红队角度)
Windows客户端漏洞挖掘(红队角度) 渗透安全团队 2023-12-18 22:56 0x01 前言 周五的时候看了key佬的演讲受益良多呀,来水水,写下目前针对Windows客户端类程序的部分挖掘入口吧,然后分享一下随手挖的很简单很简单的案例。 传统客户端 监听类的: 这里说的监听类的,指的就是安装客户端后启动的端口服务,这个思路WEB、设备类的0Click几乎都是这样,Windows客户端
继续阅读【漏洞通告】Apache Dubbo多个漏洞安全通告
【漏洞通告】Apache Dubbo多个漏洞安全通告 深瞳漏洞实验室 深信服千里目安全技术中心 2023-12-18 20:30 漏洞名称: Apache Dubbo多个漏洞安全通告 组件名称: Apache Dubbo 安全公告链接: https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77 https://lists.ap
继续阅读[CTF复现计划]2023强网杯初赛 thinkshop[ping]
[CTF复现计划]2023强网杯初赛 thinkshop[ping] Dest0g3 Team 2023-12-18 18:47 前言 “大头SEC”公众号专注于CTF、AWD、AWD Plus、RDG等竞赛题目复现。 在“大头SEC”公众号正式开始运营以前,“CTF复现计划”已经运营了一段时间,“CTF复现计划”旨在解决各位CTFer在赛后因平台关闭导致无法复现的问题。截止10月18日,“CTF
继续阅读【高危漏洞预警】Apache Dubbo 反序列化漏洞CVE-2023-29234
【高危漏洞预警】Apache Dubbo 反序列化漏洞CVE-2023-29234 cexlife 飓风网络安全 2023-12-18 18:29 漏洞描述: Apache Dubbo 是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力,使应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成,Apache Dubbo 某些版本在解码恶意包时存在反序
继续阅读速修复!开源防火墙软件pfSense 中存在多个漏洞
速修复!开源防火墙软件pfSense 中存在多个漏洞 THN 代码卫士 2023-12-18 18:18 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 开源的 Netgate pfSense 防火墙解决方案 pfSense 中存在多个漏洞,可被攻击者用于在可疑设备上执行任意命令。 这些问题和两个反射型XSS漏洞有关,其中一个是命令注入漏洞。安全研究员 Zeino-Mahmalat
继续阅读CVE-2023-25157:GeoServer OGC Filter SQL注入漏洞
CVE-2023-25157:GeoServer OGC Filter SQL注入漏洞 原创 lyc Timeline Sec 2023-12-18 18:10 关注我们❤️,添加星标🌟,一起学安全!作者:lyc@Timeline Sec 本文字数:1296 阅读时长:2~4min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 GeoServer是OpenGIS Web
继续阅读Apache Dubbo多个反序列化漏洞安全风险通告
Apache Dubbo多个反序列化漏洞安全风险通告 奇安信 CERT 2023-12-18 17:04 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Dubbo多个反序列化漏洞 漏洞编号 CVE-2023-29234、CVE-2023-46279 公开时间 2023-12-15 影响对象数量级 十万级 奇安信评级 高危 CVSS 评分 7.7、8.1 威胁类型
继续阅读安全验证 | Dubbo CVE-2023-29234 反序列化漏洞分析
安全验证 | Dubbo CVE-2023-29234 反序列化漏洞分析 原创 云鼎实验室 云鼎实验室 2023-12-18 16:32 漏洞描述 2023年12月15日,Apache 官方发布安全通告,披露了其 Dubbo 存在反序列化漏洞,漏洞编号CVE-2023-29234。 Dubbo 是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,
继续阅读CVE-2023-6063分析|WordPress WP Fastest Cache 插件导致的SQL注入
CVE-2023-6063分析|WordPress WP Fastest Cache 插件导致的SQL注入 船山信安 2023-12-18 00:01 漏洞环境 ● wordpress 版本无限制● WP Fastest Cache 插件 <1.2.2,这里使用1.2.1版本启用 WP Fastest Cache 插件,并启用“缓存系统” 漏洞点cache.php 。调用在漏洞分析部分分析
继续阅读二进制漏洞分析-25.华为TrustZone TA_SignTool OOB Read
二进制漏洞分析-25.华为TrustZone TA_SignTool OOB Read 原创 haidragon 安全狗的自我修养 2023-12-17 21:04 二进制漏洞分析-1.华为Security Hypervisor漏洞 二进制漏洞分析-2.揭示华为安全管理程序(上) 二进制漏洞分析-3.揭示华为安全管理程序(下) 二进制漏洞分析-4.华为安全监控漏洞(SMC SE 工厂检查 OOB
继续阅读2023年,Log4j仍是黑客主要攻击的漏洞
2023年,Log4j仍是黑客主要攻击的漏洞 网安百色 2023-12-17 19:31 Cloudflare的“2023年互联网流量趋势报告”显示,过去一年网络流量增长25%,卫星网络Starlink整体流量增长达3倍,而Log4j漏洞仍是黑客主要攻击的漏洞。 Cloudflare发布了第四次互联网趋势报告,该报告分为流量分析与趋势、连接与速度以及安全三个类别。报告内容主要来自Cloudflar
继续阅读【安全圈】QNAP VioStor NVR 漏洞被恶意软件利用
【安全圈】QNAP VioStor NVR 漏洞被恶意软件利用 安全圈 2023-12-17 19:01 关键词 恶意软件 一个名为 “InfectedSlurs” 的基于 Mirai 的僵尸网络正在利用 QNAP VioStor NVR (网络录像机)设备中的远程代码执行 (RCE) 漏洞来劫持并使它们成为其 DDoS (分布式拒绝服务)群的一部分。 该僵尸网络由 Akamai 的安全情报响应团
继续阅读S2-032远程代码执行漏洞(CVE-2016-3081)
S2-032远程代码执行漏洞(CVE-2016-3081) 巢安实验室 巢安实验室 2023-12-17 17:30 漏洞简介 S2-032漏洞是一种影响Apache Struts web应用程序框架的远程代码执行(RCE)漏洞。此漏洞允许攻击者通过发送特制的HTTP请求在服务器上执行任意代码。这可能被利用来获得对服务器的未经授权的访问,从而可能导致系统的完全破坏。 影响版本 2.3.20 <
继续阅读Android App半自动化静态漏洞挖掘技术分析
Android App半自动化静态漏洞挖掘技术分析 ADLab 白帽子左一 2023-12-17 12:00 扫码领资料 获网安教程 免费&进群 一、前言 在Android应用层安全研究领域,研究人员大多采用人工审计加脚本的方式进行漏洞挖掘。针对某个新的攻击面,对手机厂商上千款的预置App开展批量的漏洞挖掘时,短时间内很难产出结果,漏洞挖掘效率低。 在2021年7月上旬,启明星辰ADLab
继续阅读Nuclei脚本:专注于检测WordPress漏洞
Nuclei脚本:专注于检测WordPress漏洞 网络安全交流圈 青澜安全团队 2023-12-17 11:10 该项目供应丰富、全新的 Nuclei 模板集,专为检测 WordPress 的漏洞设计。这些模板都基于 Wordfence.com 的漏洞报告,构成了对任何需要扫描 WordPress 网站漏洞的人的重要资源。这些易于使用的模板不仅保持最新,还是开源的,允许您自行修改以适应特定需求。
继续阅读Logbase思迪福堡垒机漏洞分析
Logbase思迪福堡垒机漏洞分析 WK安全 2023-12-17 09:52 赛 博大作战中的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。 利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 本文所提供的工具仅用于学习,禁止用于其他! ! ! 1
继续阅读【1day】万户OA check_onlyfield.jsp sql注入漏洞
【1day】万户OA check_onlyfield.jsp sql注入漏洞 原创 十二 十二主神 2023-12-17 09:30 重要通知 师傅们,动动小手指,设个星标,灰常感谢 漏洞描述 万户OA check_onlyfield.jsp sql注入漏洞,攻击者可通过此漏洞获取敏感信息。 资产测绘 Fofa:app="万户网络-ezOFFICE" 漏洞POC POC1 /d
继续阅读查头:通过姓名、身份证号获取人脸信息;|2023年,Log4j仍是黑客主要攻击的漏洞
查头:通过姓名、身份证号获取人脸信息;|2023年,Log4j仍是黑客主要攻击的漏洞 黑白之道 2023-12-17 09:12 查头:通过姓名、身份证号获取人脸信息; 2023年12月15日, 广东广州互联网法院公布了一起买卖公民个人信息案件。涉案人员利用人工智能将人脸照片生成视频,伪造人脸识别认证,从而非法牟利。其中涉及两项所谓的“业务”——“查头”和“过脸”。从2020年9月开始,郑某利用某
继续阅读Apache告警, Struts 2 开源框架存在严重安全漏洞
Apache告警, Struts 2 开源框架存在严重安全漏洞 小薯条 FreeBuf 2023-12-17 09:01 近日,阿帕奇公司发布安全公告称 Struts 2 开源 Web 应用程序框架存在严重安全漏洞,可能导致远程代码执行。 该漏洞被追踪为 CVE-2023-50164,其根源在于文件上传逻辑,该逻辑可实现未经授权的路径遍历,在这种情况下极易被用来上传恶意文件并执行任意代码。 Sha
继续阅读