ZDI研究人员披露四个Microsoft Exchange中的0day漏洞
ZDI研究人员披露四个Microsoft Exchange中的0day漏洞 看雪学苑 看雪学苑 2023-11-08 18:00 11月3日,趋势科技的ZDI研究人员披露了四个Microsoft Exchange中的零日漏洞,攻击者可以远程利用这些漏洞执行任意代码或泄露敏感信息。 ZDI于2023年9月7日、8日向微软报告了这些漏洞,但微软对此表示,ZDI披露的四个Exchange漏洞要么已经修复
继续阅读标签: 漏洞
【顶刊论文分享】The Leaky Web:自动化识别浏览器和Web中跨站信息泄露漏洞
【顶刊论文分享】The Leaky Web:自动化识别浏览器和Web中跨站信息泄露漏洞 原创 创新研究院 绿盟科技研究通讯 2023-11-08 17:02 一. 概述 用户通常期望在浏览网络时保持隐私,不希望让网站知道他们之前访问了哪些站点或是否已登录其他网站。然而,被攻击者恶意控制的网站可能通过浏览器的一些方法来获取这些信息,而用户并不知情。这些网站可以在后台与其他网站进行互动,从而收集用户的
继续阅读漏洞通告 | IP-guard WebServer 远程命令执行漏洞
漏洞通告 | IP-guard WebServer 远程命令执行漏洞 原创 微步漏洞团队 微步在线研究响应中心 2023-11-08 17:00 01 漏洞概况**** IP-guard是由溢信科技股份有限公司开发的一款终端安全管理软件,旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。微步漏洞团队通过“X 漏洞奖励计划”获取到IP-guard WebServer远程命令执行
继续阅读通过分析JS源代码发现api漏洞
通过分析JS源代码发现api漏洞 Waleed 迪哥讲事 2023-11-08 16:00 通过分析JS源代码发现api漏洞 正文 目标为target.com,范围为*.target.com,信息搜集之后,发现前端为react,发现了一个文件夹名字叫web-app,其中包含了前端的源代码! 使用了一个chrome插件来下载源代码(见文末),然后进行代码审计 首先在 JS 文件中寻找 api 接口,
继续阅读攻击范围扩大促Atlassian 修正漏洞评分-勒索攻击者已摩拳擦掌跃跃欲试
攻击范围扩大促Atlassian 修正漏洞评分-勒索攻击者已摩拳擦掌跃跃欲试 关键基础设施安全应急响应中心 2023-11-08 14:53 针对未修补的Atlassian Confluence数据中心和服务器技术的主动勒索软件和其他网络攻击已促使Atlassian将该漏洞CVE-2023-22518的CVSS评分从原来的9.1分提高到10分,这是该等级中最关键的评级。据称,Atlassian C
继续阅读burp_crawl_rce复现-从点击劫持到rce
burp_crawl_rce复现-从点击劫持到rce 原创 kkk mr 漏洞推送 2023-11-07 23:24 漏洞来源 https://hackerone.com/reports/1274695 漏洞环境 burpSuite 2021.7 https://portswigger-cdn.net/burp/releases/download?product=pro&version=
继续阅读今日更新-分析ioctl fuzz,syscall fuzz | 系统0day安全-Windows平台漏洞挖掘
今日更新-分析ioctl fuzz,syscall fuzz | 系统0day安全-Windows平台漏洞挖掘 看雪课程 看雪学苑 2023-11-07 17:59 今日更新 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技
继续阅读QNAP 修复两个严重的命令注入漏洞
QNAP 修复两个严重的命令注入漏洞 Bill Toulas 代码卫士 2023-11-07 16:58 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 QNAP Systems 发布安全公告,修复了影响 NAS 设备上多个 QTS 操作系统和应用程序版本的两个严重的命令注入漏洞。 第一个漏洞是CVE-2023-23368,CVSS评分为9.8,是一个命令注入漏洞,可被远程攻击者通过
继续阅读Veeam ONE 监控平台存在多个严重漏洞
Veeam ONE 监控平台存在多个严重漏洞 Sergiu Gatlan 代码卫士 2023-11-07 16:58 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 今天,Veeam 发布热补丁,修复了位于 Veeam ONE IT 基础设施监控和分析平台中的四个漏洞,其中两个是严重级别。 Veeam 公司对这两个严重漏洞的CVSS评分为9.8分,它们可导致攻击者获得远程代码执行权限
继续阅读现役美军信息1元/条可买!美国数据交易产业失控引发国家安全漏洞
现役美军信息1元/条可买!美国数据交易产业失控引发国家安全漏洞 安全内参编译 安全内参 2023-11-07 16:19 关注我们 带你读懂网络安全 杜克大学研究人员以12美分/条的超低价格,买到数千名美国军人的信息。 前情回顾·大数据新安全 – 美国家网络总监警告:对手可从非机密数据中重建机密信息 上帝视野!美企监视全球数十亿台手机,实时观测俄军/CIA特工动向 数据交易危害国家安全
继续阅读上周关注度较高的产品安全漏洞(20231030-20231105)
上周关注度较高的产品安全漏洞(20231030-20231105) 国家互联网应急中心CNCERT 2023-11-07 15:03 一、境外厂商产品漏洞 1、Microsoft Windows Layer 2 Tunneling Protocol远程代码执行漏洞(CNVD-2023-81878)**** Microsoft Windows是美国微软(Microsoft)公司的一套个人设备使用的操
继续阅读Apache ActiveMQ RCE漏洞 CVE-2023-46604复现分析
Apache ActiveMQ RCE漏洞 CVE-2023-46604复现分析 原创 th1e 山石网科安全技术研究院 2023-11-07 10:41 一早起来看见群里炸锅了,全都是Apache ActiveMQ的在野利用,搜了一下资料发现有一篇已经被撤回的分析文章。 先找小伙伴要了一下源码,然后找了一下资产,不想自己搭建环境了,搞个灰盒分析吧。 一切准备就绪开始漏洞分析。 漏洞分析 先看下补
继续阅读他们在韩国最大安全技术峰会,分享了这个Office高危漏洞分析
他们在韩国最大安全技术峰会,分享了这个Office高危漏洞分析 深信服千里目安全技术中心 2023-11-06 19:42 当你 收到了一个压缩包 或访问了一个远程服务器的文 件系统 打开了里面的Word文档 你知道吗,这时你的电脑 可能已经暴露于黑客前 如果不加以修复,可能面临被攻击的风险 日前,韩国2023 PoC(Power of Community)安全大会在首尔揭开帷幕,汇聚各国顶级黑客
继续阅读Okta被黑溯源:系统设计曝重大漏洞,机器账号未做安全防护
Okta被黑溯源:系统设计曝重大漏洞,机器账号未做安全防护 安全内参编译 安全内参 2023-11-06 17:59 关注我们 带你读懂网络安全 Okta业务系统被黑导致客户遭入侵,溯源发现该事件源于一名员工用个人Chrome账号同步了工作电脑上的业务系统服务账号密码,而该服务账号未做任何访问限制、二次验证等安全手段; Okta披露文章将入侵责任主要归咎于不守规矩的员工,这掩盖了系统设计漏洞的真正
继续阅读ZDI称微软 Exchange 出现4个新0day,可导致RCE和数据被盗
ZDI称微软 Exchange 出现4个新0day,可导致RCE和数据被盗 Bill Toulas 代码卫士 2023-11-06 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 微软 Exchange 中存在4个0day漏洞,可被攻击者远程利用执行任意代码或在受影响设备上泄露敏感信息。 这些0day 漏洞是由趋势科技的ZDI 团队披露的,后者在2023年9月7日和8日告
继续阅读雷神众测漏洞周报2023.10.30-2023.11.06
雷神众测漏洞周报2023.10.30-2023.11.06 原创 雷神众测 雷神众测 2023-11-06 17:19 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读360获评国家信息安全漏洞库(CNNVD)一级技术支撑单位
360获评国家信息安全漏洞库(CNNVD)一级技术支撑单位 360数字安全 2023-11-02 18:21 近日, 360数字安全集团再次荣获中国信息安全测评中心颁发的“国家信息安全漏洞库(CNNVD)一级技术支撑单位等级证书”,成为蝉联该领域最高级别支撑单位之一。 国家信息安全漏洞库(CNNVD)是中国信息安全测评中心履行漏洞分析和风险评估职能的重要平台,在信息安全漏洞搜集、重大漏洞信息通报、
继续阅读今日更新:堆溢出漏洞分析与实操讲解-30小时教你玩转CTF
今日更新:堆溢出漏洞分析与实操讲解-30小时教你玩转CTF 原创 看雪课程 看雪学苑 2023-11-02 17:59 作为CTF初学者,在学习的过程中你是否遇到过以下问题: 下定决心想要学习CTF,不知道如何入门从哪开始; 知识点太过零散,没有一个明确的学习路径感到非常困惑; 学完理论知识后,却找不到一个适合的实操环境来巩固; …… 11月2日更新如下: 本课程上线了AI
继续阅读最新CVSS 4.0漏洞严重性评级标准发布
最新CVSS 4.0漏洞严重性评级标准发布 看雪学苑 看雪学苑 2023-11-02 17:59 11月2日,事件响应和安全团队论坛(FIRST)发推表示CVSS v4.0评分标准正式发布,这是其通用漏洞评分系统(Common Vulnerability Scoring System)的最新一代版本,距离上一次主要版本CVSS v3.0发布已经过去了八年。 CVSS是一种用于评估软件安全漏洞严重性
继续阅读常见 Web 应用越权漏洞分析与防范研究
常见 Web 应用越权漏洞分析与防范研究 关键基础设施安全应急响应中心 2023-11-02 14:53 摘要:Web 应用通常用于对外提供服务,由于具有开放性的特点,逐渐成为网络攻击的重要对象,而漏洞利用是实现 Web 攻击的主要技术途径。越权漏洞作为一种常见的高危安全漏洞,被开 放 Web 应 用 安 全 项 目(Open Web Application Security Project,OW
继续阅读新的CVSS 4.0漏洞严重程度评级标准发布
新的CVSS 4.0漏洞严重程度评级标准发布 安全客 2023-11-02 11:06 事件响应和安全团队论坛 (FIRST) 正式发布了 CVSS v4.0,这是其下一代通用漏洞评分系统标准,距上一个主要版本 CVSS v3.0 已经过去了八年。 CVSS 是一个用于评估软件安全漏洞严重性的标准化框架,用于根据可利用性、对机密性、完整性、可用性和所需权限的影响来分配数字分数或定性表示(例如低、中
继续阅读CVE-2023-22518:Atlassian Confluence身份认证绕过漏洞通告
CVE-2023-22518:Atlassian Confluence身份认证绕过漏洞通告 原创 360CERT 三六零CERT 2023-11-01 18:37 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-498 报告来源:360CERT 报告作者:360CERT 更新日期:2023-11-01 1 漏洞简述 2023年11月01日,360CERT监测发现Atlassian发
继续阅读手把手玩转路由器漏洞挖掘系列 – SNMP协议分析
手把手玩转路由器漏洞挖掘系列 – SNMP协议分析 原创 nil 山石网科安全技术研究院 2023-11-01 18:17 1. 基本介绍 1.1 概要 SNMP协议(Simple Network Management Protocol,SNMP)原名叫做简单网关协议。该协议是基于简单网关监视协议指定的,是专门设计用于在IP网络管理网络节点的一种标准协议,是一种应用层协议。 主要作用帮
继续阅读【漏洞通告】XXL-JOB 默认accessToken 认证绕过漏洞
【漏洞通告】XXL-JOB 默认accessToken 认证绕过漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-11-01 18:07 漏洞名称: XXL-JOB 默认accessToken 认证绕过漏洞 组件名称: XXL-JOB 影响范围: XXL-JOB <= 2.4.0 漏洞类型: 认证绕过 利用条件: 1、用户认证:否 2、前置条件:默认配置 3、触发方式:远程 综合评价
继续阅读白帽访谈 | 挖掘上万个高危漏洞的安全守护者
白帽访谈 | 挖掘上万个高危漏洞的安全守护者 SFSRC 看雪学苑 2023-11-01 18:05 序 有这样一位传奇选手, 截至目前,他是: “顺丰安全应急响应中心”2023年榜第一; “补天漏洞响应平台”战神榜总榜第二; “顺丰安全应急响应中心”2023.6月入驻以来连续4个月月榜第一; 带领安全团队API Team稳居“顺丰安全应急响应中心”团队总榜第一; “补天 漏洞响应平台”2022年
继续阅读一键预约 | AI安全及漏洞分析赛道出题人空降!DataCon2023赛前公开课来袭
一键预约 | AI安全及漏洞分析赛道出题人空降!DataCon2023赛前公开课来袭 原创 报名正在进行的 DataCon大数据安全分析竞赛 2023-11-01 17:53 年度数据安全分析盛宴即将开启 DataCon2023大赛持续报名中 此前组委会邀请五大赛道出题人揭秘赛道 为进一步帮助大家理解赛题和快速储备知识 特推出《DataCon2023赛前公开课》 本次课程聚焦比赛两大新增赛道 AI
继续阅读【已复现】Microsoft WordPad 信息泄露漏洞(CVE-2023-36563)安全风险通告
【已复现】Microsoft WordPad 信息泄露漏洞(CVE-2023-36563)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-11-01 17:25 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Microsoft WordPad 信息泄露漏洞 漏洞编号 QVD-2023-24196、CVE-2023-36563 公开时间 2023-10-10
继续阅读风险提示 | XXL-JOB 默认 accessToken 身份绕过,可导致 RCE
风险提示 | XXL-JOB 默认 accessToken 身份绕过,可导致 RCE 原创 微步情报局 微步在线研究响应中心 2023-11-01 15:18 01 漏洞概况**** XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务的调度和执行。XXL-JOB 默认配置下,用于调度通讯的 accessToken 不是随机生成的,而是使用 application.propertie
继续阅读2023年“专属SRC”漏洞年度证书奖励计划公布!
2023年“专属SRC”漏洞年度证书奖励计划公布! 补天平台 2023-11-01 11:18 专属SRC漏洞 年度证书 Annual Certificate Award 及时快速响应 维护网络安全 近一年来,很多白帽子业精于勤、好学不倦,积极申请、参与各大专属SRC项目,在厂商每一次新增资产的同时快速响应,及时发现漏洞,为企业安全保驾护航! 为感谢这些积极参与专属SRC项目漏洞挖掘的白帽子,在2
继续阅读【漏洞通告】Atlassian Confluence远程代码执行漏洞(CVE-2023-22518)
【漏洞通告】Atlassian Confluence远程代码执行漏洞(CVE-2023-22518) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-10-31 21:18 漏洞名称: Atlassian Confluence远程代码执行漏洞(CVE-2023-22518) 组件名称: Atlassian Confluence 影响范围: Atlassian Confluence < 7
继续阅读