定制化白盒检测 | 越权漏洞治理分享
定制化白盒检测 | 越权漏洞治理分享 无恒实验室 字节跳动技术团队 2023-07-12 12:03 一、背景 在漏洞扫描领域,主流的扫描方式分为黑盒扫描和白盒扫描,其中源代码安全检测即白盒扫描是安全开发流程(SDLC)中非常重要的一部分。传统漏洞大多数都能通过工具的方式检出,但对于越权漏洞,工具较难解决,在对黑盒工具赋能后, 无恒实验室又尝试探索对白盒工具赋能进行定制化的扫描,下面将为大家分享无
继续阅读标签: 漏洞
微软2023年7月补丁日多个产品安全漏洞风险通告
微软2023年7月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2023-07-12 10:31 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2023年7月补丁日多个产品安全漏洞 影响厂商&产品 Microsoft Visual Studio 2022、Microsoft Office、Microsoft SharePoint Server等 公开时间 20
继续阅读【安全圈】出现了今年第十个零日漏洞,苹果发布紧急更新
【安全圈】出现了今年第十个零日漏洞,苹果发布紧急更新 安全圈 2023-07-11 19:00 关键词 安全漏洞 苹果于7月10日发布了新一轮快速安全响应 (RSR) 更新,以解决在攻击中利用的一个新零日漏洞。 苹果在iOS和macOS的更新公告中引用了一位匿名安全专家对该漏洞(CVE-2023-37450)的描述,表示“苹果已获悉有关此漏洞可能已被积极利用的报告”。苹果在更新公告中也表示这是一个
继续阅读【安全圈】安卓程序出现高危漏洞,CISA 要求联邦政府尽快修复
【安全圈】安卓程序出现高危漏洞,CISA 要求联邦政府尽快修复 安全圈 2023-07-11 19:00 关键词 安全漏洞 近日,CISA要求联邦机构尽快修补一个高危的内核驱动特权升级漏洞Arm Mali GPU,该漏洞已被列入到其积极处理的漏洞列表中,并在本月的安卓安全更新中得到解决。 该漏洞(被追踪为CVE-2021-29256)是一种在释放后使用的漏洞,通过允许对GPU内存的不正当操作,让攻
继续阅读99.99%漏洞屏蔽率的NPatch,部署简单+业务0影响,是如何做到的?
99.99%漏洞屏蔽率的NPatch,部署简单+业务0影响,是如何做到的? 刘沙 青藤云安全 2023-07-11 18:27 近年来,信息技术快速发展和普及,改变了企业运营和个人生活的方式,但也让网络安全问题变得越来越复杂。 根据CNVD (国家信息安全漏洞共享平台)公开数据显示,自2015年以来,信息系统安全漏洞的数量一直持续走高,年平均增长率达到了21.6%。2022 年披露出来的安全漏洞则
继续阅读20万网站受影响,WordPress插件曝零日漏洞
20万网站受影响,WordPress插件曝零日漏洞 看雪学苑 看雪学苑 2023-07-11 17:59 近日,网络安全研究人员发现广泛使用的WordPress网站的Ultimate Member插件(用于简化用户注册及登录流程)存在0day漏洞,该插件目前已安装在全球超过20万个活跃网站上。 该0day(CVE-2023-3460,CVSSv3.1评分9.8)使得黑客能够在目标网站上获取提升的权
继续阅读苹果紧急修复已遭利用的 0day
苹果紧急修复已遭利用的 0day Sergiu Gatlan 代码卫士 2023-07-11 17:40 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 苹果发布新一轮快速安全响应 (RSR) 更新,修复了一个已遭利用的 0day (CVE-2023-37450),影响完全打补丁的 iPhone、Mac 和 iPad。 苹果在 iOS 和 macOS 安全通告中指出,该漏洞由一名匿名
继续阅读WordPress插件漏洞快速分析
WordPress插件漏洞快速分析 king 360Quake空间测绘 2023-07-11 17:16 WordPress有众多插件每日都有很多漏洞爆出,如何快速分析这些漏洞呢,下面拿cve-2023-25970漏洞举例, Zendrop – Global Dropshippin插件存在任意文件上传,大部分插件在wordpress官网都有代码变更历史,直接去官网找到变更代码。 下图可以看见上传正
继续阅读知名金融科技公司漏洞遭利用,近1.5亿元资金失窃
知名金融科技公司漏洞遭利用,近1.5亿元资金失窃 安全内参编译 安全内参 2023-07-11 15:59 关注我们 带你读懂网络安全 Revolut公司的支付系统存在漏洞,在特定交易环节会错误向用户账户退款,且风控能力不足,该漏洞遭利用数月,直到公司合作银行发出警告才发现问题。 前情回顾·金融业网络威胁态势 – 美国财政部:2021年金融机构因勒索攻击损失超12亿美元 银行人脸识别系
继续阅读CISA要求联邦政府尽快修复影响安卓程序的高危漏洞
CISA要求联邦政府尽快修复影响安卓程序的高危漏洞 网络安全应急技术国家工程中心 2023-07-11 15:34 近日,CISA要求联邦机构尽快修补一个高危的内核驱动特权升级漏洞Arm Mali GPU,该漏洞已被列入到其积极处理的漏洞列表中,并在本月的安卓安全更新中得到解决。 该漏洞(被追踪为CVE-2021-29256)是一种在释放后使用的漏洞,通过允许对GPU内存的不正当操作,让攻击者升级
继续阅读三万个太阳能光伏电站面临严重漏洞威胁
三万个太阳能光伏电站面临严重漏洞威胁 网络安全应急技术国家工程中心 2023-07-11 15:34 全球数万个太阳能光伏发电站所采用的太阳能发电监控系统曝出严重漏洞,远程攻击者目前正积极利用该漏洞破坏运营或在系统中驻留。 曝出漏洞的设备是日本大阪的Contec(康泰克)公司生产的SolarView太阳能发电监控系统,可帮助太阳能光伏电站内的人员监控产生、存储和配电。 Contec表示,全球大约3
继续阅读上周关注度较高的产品安全漏洞(20230703-20230709)
上周关注度较高的产品安全漏洞(20230703-20230709) 国家互联网应急中心CNCERT 2023-07-11 15:19 一、境外厂商产品漏洞 1、Microsoft Excel代码执行漏洞(CNVD-2023-53909) Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞,攻击
继续阅读风险提示|泛微 OA e-cology 前台SQL注入漏洞
风险提示|泛微 OA e-cology 前台SQL注入漏洞 长亭安全应急响应中心 2023-07-11 13:19 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。近期,长亭科技监测到泛微官方发布了新补丁修复了一处SQL注入漏洞。长亭应急团队经过分析后发现该漏洞类型为SQL注入,仍有较多公网系统仍未修复漏洞。长亭应急响应实验室根据漏洞原理
继续阅读【技术原创】GoAnywhere Managed File Transfer漏洞调试环境搭建
【技术原创】GoAnywhere Managed File Transfer漏洞调试环境搭建 原创 3gstudent 嘶吼专业版 2023-07-11 12:01 0x00 前言 本文记录从零开始搭建GoAnywhere Managed File Transfer漏洞调试环境的细节。 0x01 简介 本文将要介绍以下内容: GoAnywhere Managed File Transfer安装。
继续阅读原创Paper | 从入门 .NET 到分析金蝶反序列化漏洞学习笔记
原创Paper | 从入门 .NET 到分析金蝶反序列化漏洞学习笔记 原创 404实验室 知道创宇404实验室 2023-07-11 11:19 作者: Sunflower@知道创宇404实验室日期:2023年7月10日 1.前言 参考资料 由于金蝶云星空能够使用 format 参数指定数据格式为二进制,攻击者可以通过发送由 BinaryFormatter 恶意序列化后的数据让服务端进行危险的 B
继续阅读Apple WebKit 远程代码执行漏洞(CVE-2023-37450)安全风险通告
Apple WebKit 远程代码执行漏洞(CVE-2023-37450)安全风险通告 奇安信 CERT 2023-07-11 10:53 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apple WebKit 远程代码执行漏洞 漏洞编号 QVD-2023-15798、CVE-2023-37450 公开时间 2023-07-10 影响对象数量级 百万级 奇安信评级 高危 CV
继续阅读已复现!泛微e-cology SQL注入漏洞
已复现!泛微e-cology SQL注入漏洞 原创 微步情报局 微步在线研究响应中心 2023-07-10 20:12 01 漏洞概况**** 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。近日,微步漏洞团队监测到泛微e-cology官方修复了一个SQ
继续阅读【安全圈】Progress Software再现三个新漏洞,影响 MOVEit Transfer多个版本
【安全圈】Progress Software再现三个新漏洞,影响 MOVEit Transfer多个版本 安全圈 2023-07-10 19:00 关键词 安全漏洞 今年6月,文件共享工具MOVEit Transfer曾曝出SQL 注入漏洞,能让远程攻击者访问其数据库并执行任意代码。最近,MOVEit Transfer 母公司Progress Software又披露了三个新漏洞。 这三个漏洞分别是
继续阅读【安全圈】速看,三万个太阳能光伏电站面临严重漏洞威胁
【安全圈】速看,三万个太阳能光伏电站面临严重漏洞威胁 安全圈 2023-07-10 19:00 关键词 黑客攻击 全球数万个太阳能光伏发电站所采用的太阳能发电监控系统曝出严重漏洞,远程攻击者目前正积极利用该漏洞破坏运营或在系统中驻留。 曝出漏洞的设备是日本大阪的Contec(康泰克)公司生产的SolarView太阳能发电监控系统,可帮助太阳能光伏电站内的人员监控产生、存储和配电。Contec表示,
继续阅读严重的 TootRoot 漏洞可导致Mastodon 服务器遭劫持
严重的 TootRoot 漏洞可导致Mastodon 服务器遭劫持 Bill Toulas 代码卫士 2023-07-10 18:07 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 免费开源的去中心化社交网络平台 Mastodon 修复了四个漏洞,其中一个严重漏洞可导致黑客在使用特殊构造的媒体文件的服务器上创建任意文件。 Mastodon 拥有约880万名用户,分布在由志愿者托管的
继续阅读CVE-2023-24941 Windows NFS 远程代码执行漏洞分析
CVE-2023-24941 Windows NFS 远程代码执行漏洞分析 原创 天元实验室 M01N Team 2023-07-10 18:00 简介 NFS(Network File System)是一种用于服务器和客户机之间文件访问和共享的通信协议,通过它,客户机可以远程访问存储设备上的数据。CVE-2023-24941是微软在2023年5月份补丁日修复的一个位于Windows网络文件系统中
继续阅读【已复现】泛微E-Cology SQL注入漏洞安全风险通告
【已复现】泛微E-Cology SQL注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-07-10 16:38 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 泛微E-Cology SQL注入漏洞 漏洞编号 QVD-2023-15672 公开时间 2023-07-07 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 8.6 威胁类型 代码执
继续阅读雷神众测漏洞周报2023.07.03-2023.07.09
雷神众测漏洞周报2023.07.03-2023.07.09 原创 雷神众测 雷神众测 2023-07-10 15:01 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读网络安全漏洞(风险)扫描的12种类型
网络安全漏洞(风险)扫描的12种类型 安全牛 2023-07-10 12:06 漏洞(风险)扫描是保障现代企业数字化转型安全开展过程中一个至关重要的组成部分,可以帮助企业识别数字化系统和应用中的各类安全缺陷。在实际应用时,漏洞扫描的类型需要和它们能够保护的IT环境保持一致。如果充分了解不同类型漏洞扫描技术之间的区别,企业可以提高整体网络安全防御能力,并加固系统以防范潜在威胁。本文收集整理了目前最常
继续阅读看一个经典的缓冲区溢出漏洞
看一个经典的缓冲区溢出漏洞 原创 01dGu0 白帽100安全攻防实验室 2023-07-10 12:04 点击订阅关注我哦 前 言 在当今数字化时代,软件的广泛应用为我们的生活带来了巨大的便利和效率提升。然而,随着软件规模和复杂性的不断增加,安全性问题也变得愈发突出。缓冲区溢出漏洞就是其中一种最常见和危险的安全漏洞,它可以被恶意黑客利用,导致严重的安全风险和损失。 本文将初步探讨缓冲区溢出漏洞的
继续阅读【安全圈】2万个关键漏洞!这家政府机构迟迟不修遭通报
【安全圈】2万个关键漏洞!这家政府机构迟迟不修遭通报 安全圈 2023-07-08 19:00 关键词 安全漏洞 7月7日消息,一份最新监察报告显示,美国环保局(EPA)未能跟踪、修补数千个涉及环境和辐射数据的关键漏洞。这一安全缺陷可能对公共健康构成重大风险。 美国环保局监察长办公室周三发布的报告称,根据联邦命令,环保局应在规定时间内解决辐射数据分析系统(ARaDS)的已知漏洞,然而,环保局未能做
继续阅读云上跨租户漏洞攻击面分析-RSAC议题解读
云上跨租户漏洞攻击面分析-RSAC议题解读 geekby.site 渗透测试网络安全 2023-07-08 19:00 1 相关概念 1.1 多租户技术 多租户技术是一种在云计算环境中广泛使用的架构设计方法,用于在单个应用程序或服务中同时支持多个独立的租户或用户。 在传统的单租户架构中,每个应用程序或服务只为一个租户提供服务。而在多租户架构中,应用程序或服务被设计成可以同时为多个租户提供服务,而且
继续阅读【安全圈】利用网络漏洞,“薅羊毛”赚100万!
【安全圈】利用网络漏洞,“薅羊毛”赚100万! 安全圈 2023-07-07 19:01 关键词 网络漏洞 近日 上海市公安局嘉定分局 刑侦支队接到 某网络 电 商公司报案称 发现 公司网购平台用户 中 有存在利用 服务漏洞 “薅羊毛”的可疑交易 经企业初步点算 自2022年年末至报案前 不到半年时间内 已累计损失达100万元 民警通过调查后发现 该企业于去年9月起 为树立企业 商品质量信誉 推出
继续阅读9月1日正式开课!系统0day安全-Windows平台漏洞挖掘
9月1日正式开课!系统0day安全-Windows平台漏洞挖掘 釉子 看雪学苑 2023-07-07 18:02 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问题的认
继续阅读速修复!Linux 内核严重漏洞影响所有 Linux 配置
速修复!Linux 内核严重漏洞影响所有 Linux 配置 Jai Vijayan 代码卫士 2023-07-07 17:48 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 今年六月中旬,一名安全研究员发现并向 Linux 管理员报告了一个位于 Linux 内核中的一个严重漏洞 (CVE-2023-3269),它影响 Linux 内核6.1至6.4,可使攻击者在受影响系统上提升权限
继续阅读