标签: 漏洞

漏洞挖掘 | 一处图片引用功能导致的XSS

发布于 作者:

漏洞挖掘 | 一处图片引用功能导致的XSS 迪哥讲事 2023-09-09 23:05 山重水复疑无路 漏洞点:站点产品评论处 初步测试 一开始尝试XSS,发现程序有过滤,提交均显示Tags are not permitted,最后测出来的是过滤 < ,不过滤 > 因为提示速度比较快,猜测前端有一层检测。尝试绕过前端检测,burp拦截正常提交的内容,替换xss payload后发送,发

继续阅读

【安全圈】Atlas VPN 曝出漏洞:允许查看用户真实 IP 地址,官方:修复程序正在开发

发布于 作者:

【安全圈】Atlas VPN 曝出漏洞:允许查看用户真实 IP 地址,官方:修复程序正在开发 安全圈 2023-09-09 19:00 关键词 安全漏洞 Atlas VPN 已确认存在一个零日漏洞,该漏洞允许网站所有者查看 Linux 用户的真实 IP 地址。不久前,发现该漏洞的人在Reddit上公开发布了有关该零日漏洞的详细信息以及漏洞利用代码。 关于 Atlas VPN 零日漏洞 Atlas

继续阅读

【安全圈】苹果被曝2大安全漏洞,用户需尽快更新系统!

发布于 作者:

【安全圈】苹果被曝2大安全漏洞,用户需尽快更新系统! 安全圈 2023-09-09 19:00 关键词 手机漏洞 就在这两天,一家安全组织发现了苹果设备的2个最新漏洞,平板、手机、电脑等 都受影响—— 例如搭载iOS 16.6版本的iPhone手机,以及新版本的iPad平板、Mac电脑和Apple Watch苹果手表等。 只需要利用这些漏洞,黑客就可能打开你的麦克风记录对话,还能专挑你充电的时候悄

继续阅读

当攻击队放了个0day,在你的内网穿梭……

发布于 作者:

当攻击队放了个0day,在你的内网穿梭…… 长亭科技 2023-09-08 18:28 网络安全攻防演习,是企业安全防护水平的一次实战验证,也是一场攻击队与防守队的相互秀技。 全悉(T-ANSWER)在这场攻防博弈中,用成绩力证作为NDR产品“全面检测、智能溯源、高效处置” 的三大实战效果,亮剑出鞘、锋芒尽显。 全悉攻防实战演习 “ 必杀技 ” 01 智能规则检测 破局0day攻击 0day漏洞作

继续阅读

CVSS评分10.0,思科披露其BroadWorks平台身份认证绕过漏洞

发布于 作者:

CVSS评分10.0,思科披露其BroadWorks平台身份认证绕过漏洞 看雪学苑 看雪学苑 2023-09-08 17:59 9月6日,思科公司发布了一则安全公告,称其BroadWorks应用交付平台和BroadWorks Xtended服务平台中存在一个CVSS评分10.0的身份认证绕过漏洞,该漏洞可能允许未经身份验证的远程攻击者伪造访问受影响系统所需的凭据。 思科BroadWorks是一个面

继续阅读

【漏洞通告】致远OA 前台任意用户密码修改漏洞漏洞

发布于 作者:

【漏洞通告】致远OA 前台任意用户密码修改漏洞漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-09-08 17:43 漏洞名称: 致远OA 前台任意用户密码修改漏洞 组件名称: 致远OA  影响范围: V5/G6 V8.1SP2、V8.2 漏洞类型: 密码修改 利用条件: 1、用户认证:否 2、前置条件:默认配置 3、触发方式:远程 综合评价: <综合评定利用难度>:容易,无

继续阅读

苹果紧急修复两个已遭利用的 0day

发布于 作者:

苹果紧急修复两个已遭利用的 0day Sergiu Gatlan 代码卫士 2023-09-08 15:15 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 苹果紧急修复两个已遭利用的攻击 iPhone 和 Mac 用户的 0day(CVE-2023-41064和CVE-2023-41061),使苹果自今年以来修复的13个0day漏洞数量上升至13个。 苹果在安全公告中指出,“苹果发

继续阅读

美网军司令部官宣:伊朗黑客利用Zoho、Fortinet漏洞侵入美国航空组织

发布于 作者:

美网军司令部官宣:伊朗黑客利用Zoho、Fortinet漏洞侵入美国航空组织 网络安全应急技术国家工程中心 2023-09-08 15:07 美国CISA、FBI和网络司令部(USCYBERCOM)当地时间9月7日(周四)发布的一份联合报告显示,国家支持的黑客组织利用针对Zoho和Fortinet关键漏洞的漏洞攻击了美国一家航空组织。此次网络攻击事件背后的威胁组织尚未被命名,但虽然联合通报没有将攻

继续阅读

Android系统内核漏洞利用技术入门

发布于 作者:

Android系统内核漏洞利用技术入门 原创 unr4v31 山石网科安全技术研究院 2023-09-08 10:32 本文主要介绍Android内核利用入门,分析经典漏洞CVE-2015-3636 [0] ,主要介绍ret2dir利用思路。 漏洞分析 CVE-2015-3636是一个Linux 内核中的UAF漏洞,最初由fuzz工具Trinity发现,可利用此漏洞在安卓设备上提升权限,主要影响A

继续阅读

一个简单的越权漏洞成功拿下Admin权限

发布于 作者:

一个简单的越权漏洞成功拿下Admin权限 迪哥讲事 2023-09-07 23:14 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 文章首发于个人博客:https://mybeibei.net,点击最下方“阅读原文”可直接跳转查看。 背景介绍 国外一名白帽子(Bharat Singh)

继续阅读

风险提示|致远OA前台任意用户密码修改漏洞

发布于 作者:

风险提示|致远OA前台任意用户密码修改漏洞 长亭应急响应 黑伞安全 2023-09-07 18:07 致远OA是一款企业级办公自动化管理软件,用于协助企业实现日常办公任务和流程管理的高效化和数字化。近期,长亭科技监测到致远官方发布新补丁,修复了一处前台任意密码修改漏洞。长亭应急团队经过分析后发现仍有较多公网系统未修复漏洞。应急响应实验室根据漏洞原理编写了无害化的X-POC远程检测工具和牧云本地检测

继续阅读

这些华硕路由器存在远程代码执行漏洞,请立即更新固件

发布于 作者:

这些华硕路由器存在远程代码执行漏洞,请立即更新固件 看雪学苑 看雪学苑 2023-09-07 18:01 据台湾计算机应急响应中心披露,硬件制造商华硕的几款热门Wi-Fi路由器存在三个严重的远程代码执行漏洞。受影响的华硕路由器型号包括RT-AX55、RT-AX56U_V2和RT-AC86U,如果未安装最新的固件更新,可能会遭到黑客劫持。 这三个漏洞分别是CVE-2023-39238、CVE-202

继续阅读

谷歌修复已遭利用的安卓 0day漏洞

发布于 作者:

谷歌修复已遭利用的安卓 0day漏洞 THN 代码卫士 2023-09-07 17:46 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 谷歌在本月安卓安全更新中修复了多个漏洞,其中一个已遭活跃利用。该漏洞的编号是CVE-2023-35674,是影响Android Framework的权限提升漏洞。 谷歌在安卓安全通告中提到,“有线索表明 CVE-2023-35674可能已遭有限的、

继续阅读

8月漏洞人工验真报告合集,看看有漏的没?

发布于 作者:

8月漏洞人工验真报告合集,看看有漏的没? 原创 微步情报局 微步在线研究响应中心 2023-09-07 17:30 今年8月,各种漏洞的消息四处传播,微步漏洞团队广捞消息,并对捕获的每一条漏洞都进行了严谨的人工验证和复现。 整体漏洞有以下趋势:1.国产OA、财务系统、邮件系统、摄像头安防平台是外网主要攻击目标;2.集权系统(如域控、堡垒机、虚拟化平台、安全设备)是内网首要攻击目标;3.特定行业供应

继续阅读

手把手玩转路由器漏洞挖掘系列 – 固件加解密

发布于 作者:

手把手玩转路由器漏洞挖掘系列 – 固件加解密 原创 nil 山石网科安全技术研究院 2023-09-07 11:26 1. 背景 伴随着物联网规模的迅速发展,越来越多的物联网设备被曝出存在大量安全漏洞,这不仅仅给诸多的用户隐私及网络环境带来较大影响,同事也给诸多知名厂商口碑带来巨大挑战。为了防止安全研究人员对固件直接进行解压分析,诸多厂商采用固件加密方式来对抗研究人员的分析和研究。 2

继续阅读

PHPFusion 开源 CMS 中存在严重漏洞

发布于 作者:

PHPFusion 开源 CMS 中存在严重漏洞 Jai Vijayan 代码卫士 2023-09-06 20:05 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 安全研究员在广泛使用的开源内容管理系统 PHPFusion CMS 中发现了一个严重漏洞,目前尚无补丁。 该漏洞是一个验证的本地文件包含漏洞,编号为CVE-2023-2453。如攻击者可在目标系统的一个已知路径上上传恶意

继续阅读

华硕路由器易遭多个RCE漏洞影响

发布于 作者:

华硕路由器易遭多个RCE漏洞影响 Bill Toulas 代码卫士 2023-09-06 20:05 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 华硕 RT-AX55、RT-AX56U_V2 和 RT-AC86U 路由器受三个严重远程代码执行 (RCE) 漏洞影响,如安全更新未安装则可导致设备遭劫持。 这三款无线路由器是消费者网络市场上的热门高端路由器,备受游戏玩家和高性能需求用

继续阅读

Kinsing恶意软件利用新颖的Openfire漏洞

发布于 作者:

Kinsing恶意软件利用新颖的Openfire漏洞 网络安全应急技术国家工程中心 2023-09-06 15:34 Aqua Nautilus近日发现了一起新的攻击活动,该活动利用今年5月披露的Openfire漏洞(CVE-2023-32315)来部署Kinsing恶意软件和加密货币挖矿软件。该漏洞导致路径遍历攻击,从而授予未经身份验证的用户访问Openfire安装环境。随后,这让威胁分子得以创

继续阅读

黑客利用 MinIO 存储系统漏洞攻陷服务器

发布于 作者:

黑客利用 MinIO 存储系统漏洞攻陷服务器 THN 代码卫士 2023-09-05 18:13 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 未知威胁者利用位于 MinIO 高性能对象存储系统重的多个高危漏洞在受影响服务器上实现未授权漏洞执行。 网络安全和事件响应公司 Security Joes 表示,攻击利用了公开可用的利用链在 MinIO 实例中安装后门。该利用链由CVE-2

继续阅读

EVIL_MINIO 漏洞被用于攻击 MINIO 存储系统

发布于 作者:

EVIL_MINIO 漏洞被用于攻击 MINIO 存储系统 安全客 2023-09-05 16:58 Security Joes 研究人员观察到,一个未知的威胁参与者利用 MinIO 对象存储系统中的漏洞的公开可用的漏洞利用链,在易受攻击的服务器上实现任意代码执行。 对象存储是一种数据存储架构,用于将非结构化数据存储到称为“对象”的单元中,并将它们存储在结构扁平的数据环境中。此类服务的领先提供商是

继续阅读

匿名研究员发布AtlasVPN Linux 客户端 1.0.3 远程断开连接漏洞POC

发布于 作者:

匿名研究员发布AtlasVPN Linux 客户端 1.0.3 远程断开连接漏洞POC 安全客 2023-09-05 16:58 日前,国外Reddit  网站上出现了有关Linux操作系统 的AtlasVPN客户端发现严重安全漏洞的 信息 。 一位匿名的网络安全研究人员发布了一个有效的PoC 漏 ‍洞 ,并向公众演示了攻击者如何通过在其恶意网站上发布漏洞代码来访问 Linux 版本 VPN 客户

继续阅读

影响Windows 和 macOS平台,黑客利用 Adobe CF 漏洞部署恶意软件

发布于 作者:

影响Windows 和 macOS平台,黑客利用 Adobe CF 漏洞部署恶意软件 关键基础设施安全应急响应中心 2023-09-05 15:04 FortiGuard 实验室的网络安全研究人员发现了几个影响 Windows 和 Mac 设备的 Adobe ColdFusion 漏洞。 – 远程攻击者可利用Adobe ColdFusion 2021中的验证前RCE漏洞,获取受影响系統

继续阅读

从某mail看0day漏洞的防御法则

发布于 作者:

从某mail看0day漏洞的防御法则 原创 hunter 青藤智库 2023-09-04 18:15 01 0day漏洞的阴霾 0day漏洞指的是尚未被软件开发者或供应商意识到或修复的安全漏洞,攻击者可以利用这些漏洞开展高级持续性威胁(APT)攻击、间谍活动、勒索软件传播等恶意行为。 在今年大型攻防实战的过程中,类似于某mail的0day漏洞,像达摩克利斯之剑一样悬在蓝军的头顶,我们对它新的触发条

继续阅读

雷神众测漏洞周报2023.08.28-2023.09.03

发布于 作者:

雷神众测漏洞周报2023.08.28-2023.09.03 原创 雷神众测 雷神众测 2023-09-04 15:16 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任

继续阅读