【安全圈】俄罗斯零日漏洞卖家开价 400 万美元出售全链 Telegram 漏洞经过 古鲁巴兰- 2025 年 3 月 21 日 安全圈 2025-03-23 19:00 关键词 零日漏洞 俄罗斯漏洞经纪公司 Operation Zero 已公开宣布为 Telegram 零日漏洞提供高达 400 万美元的赏金,这表明俄罗斯政府对入侵这款流行消息应用程序的兴趣日益浓厚。 该公司专门为俄罗斯政府和当地
继续阅读Apache Tomcat 高危RCE漏洞CVE-2024-50379:复现分析与防御策略 HSCERT 山石网科安全技术研究院 2025-03-23 09:00 您的Web服务器可能正暴露在远程攻击的风险中!立即了解Apache Tomcat的最新漏洞及其修复方法。 在网络安全领域,Apache Tomcat 作为广泛使用的开源Web服务器和Servlet容器,其安全性一直受到开发者和管理员的高
继续阅读白帽SRC百洞事件复盘;业务漏洞应对处理策略| FB甲方群话题讨论 FreeBuf 2025-03-22 18:01 各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第251期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 话题抢先看 1、猜测一下某企业SRC事件会被挖到这么多洞,可能的原
继续阅读全球服务器正遭PHP漏洞精准爆破 知机安全 知机安全 2025-03-22 16:02 1. PHP安全漏洞被利用,攻击者传播Quasar RAT和加密矿工 PHP中存在一个严重的安全漏洞CVE-2024-4577,威胁者利用该漏洞在Windows系统中传播Quasar RAT等RAT以及加密货币挖掘工具,全球范围内多个地区成为重点攻击目标。网络安全公司Bitdefender报告,Taiwan、香
继续阅读速达软件 doSavePrintTpl sql注入漏洞 Superhero Nday Poc 2025-03-22 15:59 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 速达软件是中国知名的中小
继续阅读万能门店小程序管理系统 dopagefxcount SQL注入漏洞 Superhero Nday Poc 2025-03-21 20:24 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 万能门店小程
继续阅读360入选2024年度移动互联网APP产品安全漏洞治理优秀案例 360数字安全 2025-03-21 18:56 近日,在上级主管部门的指导下,由中国软件评测中心、CAPPVD漏洞库联合主办的“第六期移动互联网APP产品安全漏洞技术沙龙”在海口成功召开,并于现场公布2024年度优秀案例评选结果。360公司凭借“三六零小程序安全合规检测平台”成功入选移动互联网APP产品安全漏洞治理优秀案例。 202
继续阅读风险研究 | AI 安全警钟响起:Manus AI 漏洞暴露的背后真相 安全极客 2025-03-21 18:47 一场泄露引发的风暴 想象一下,你手中的 AI 智能助手突然暴露了自己的“内心秘密”——核心指令、运行代码,甚至可能泄露你的隐私数据。这不是科幻电影,而是刚刚发生在 Manus AI 身上的真实事件。一名用户通过简单操作,就轻松获取了这款 AI 代理的系统提示词,揭开了 AI 安全隐患
继续阅读携手国家级平台共建防线,盛邦安全获CNNVD漏洞库权威认证 盛邦安全WebRAY 2025-03-21 18:43 近日,盛邦安全获得了由国家信息安全漏洞库(CNNVD)颁发的“CNNVD漏洞信息共享合作单位”证书,公司在漏洞发现与治理方面的专业能力和综合实力再次获得国家级平台的重要认可。 “CNNVD漏洞信息共享厂商合作计划” 主要面向信息技术厂商及行业厂商联盟等组织机构,通过使用统一的CNNV
继续阅读Veeam 修复Backup & Replication 中的严重RCE漏洞 Ionut Arghire 代码卫士 2025-03-21 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,Veeam 宣布修复了 Backup &Replication 产品中的一个严重漏洞,可导致攻击者远程执行任意代码。 该漏洞的编号是CVE-2025-23120(CVSS评分
继续阅读更新小节:syscallfuzz | 系统0day安全-Windows平台漏洞挖掘(第5期) 小雪 看雪学苑 2025-03-21 17:59 更新: 3.3 syscallfuzz https://www.kanxue.com/book-194-5304.htm · 课程介绍 本课程将深入探讨Windows平台的漏洞挖掘技术,包括内核漏洞、应用程序漏洞等。课程内容结合理论与实践,帮助学员掌握Wi
继续阅读国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》;IBM AIX曝满分高危漏洞,可导致系统完全沦陷 |牛览 安全牛 2025-03-21 17:36 新闻速览 •国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》 •英国NCSC设定2035年为后量子密码迁移最后期限,提出三阶段迁移计划 •警惕新型隐写术恶意软件,利用JPEG文件分发信息窃取程序 •Cisco
继续阅读万能门店小程序管理系统 doPageGuiz SQL注入漏洞 Superhero Nday Poc 2025-03-20 20:37 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 万能门店小程序管理
继续阅读专题·漏洞人才培养 | 网络安全白帽人才运营及创新实践 原创 曾裕智 中国信息安全 2025-03-20 18:13 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 上海斗象信息科技有限公司 曾裕智 在当今数字化时代,网络安全已成为关乎国家安全、企业发展和个人隐私的关键领域。白帽人才作为专业的网络安全人员,通过对评测目标的网络和系统进行授权渗透测试,发现
继续阅读面向漏洞编程:如何让AI编程助手生成带后门的代码 安全内参编译 安全内参 2025-03-20 14:44 关注我们 带你读懂网络安全 研究人员发现,通过在AI编程助手的规则文件中植入不良内容,来诱导Cursor或GitHub Copilot生成不安全的代码,攻击者可以通过在论坛或GitHub分享包含规则文件的代码库来实施软件供应链攻击。 前情回顾·大模型安全动态 – 破解DeepSe
继续阅读ChatGPT 漏洞被用于攻击美国政府组织机构 Ionut Arghire 代码卫士 2025-03-19 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司 Veriti 报道称,威胁行动者们正在利用ChatGPT去年的服务器端请求伪造 (SSRF) 漏洞,攻击金融实体和美国政府组织机构。 该漏洞CVE-2024-27564是一个影响 pictureproxy.php
继续阅读专题·漏洞人才培养 | 聚焦漏洞技术研究 探索实战型网安人才培养的实践路径 原创 毛丽艳 李跃忠 中国信息安全 2025-03-19 18:06 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 北京天融信教育科技有限公司 毛丽艳 李跃忠 随着信息技术的飞速发展,各行各业都在享受着数字化带来的便捷与高效。然而,网络安全问题日益凸显,成为制约数字化进程的一大
继续阅读用友NC-Cloud系统getStaffInfo接口存在SQL注入漏洞 漏洞预警 2025-3-18更新 南风漏洞复现文库 2025-03-18 22:39 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友NC-Cloud系统简介
继续阅读CSO说安全 | 张天力:智能安全运营体系探索—分布式多智能体在漏洞修复中的应用与实践 原创 张天力 安在 2025-03-18 18:30 由安在新媒体联合中国网络安全审查认证和市场监管大数据中心(CCRC)共同举办的第五届“超级CSO研修班”现已圆满结营。在导师引领和课程启发下,学员们均完成极具代表性的毕业论文,是各自相关领域网络安全建设、实践与思考的精华之作。 本着分享交流之精神,我们特别精
继续阅读【高危漏洞】NC importTemplate 接口存在XML实体注入漏洞 原创 moon 皓月当空w 2025-03-17 22:40 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称 : NC importTemplate 接口存在XML实体注入漏洞 漏洞出现时间 :2025年3月15日 影响等级 :高危 漏洞说明: portal/pt/portaltemplate/impo
继续阅读美杜莎勒索软件攻击300个关键基础设施,漏洞修复刻不容缓! 数世咨询 2025-03-17 16:00 美国政府警告称,自 2021 年 6 月以来,美杜莎(Medusa) 勒索软件即服务 (RaaS) 分支机构已攻击了 300 多个关键基础设施组织。 01 组织架构演变与勒索运营模式 CISA、联邦调查局(FBI)和多国信息共享与分析中心(MS-ISAC)在一份联合警报中指出,Medusa 最初
继续阅读天融信发布《大模型组件漏洞与应用威胁安全研究报告》 阿尔法实验室 天融信阿尔法实验室 2025-03-17 13:39 近年来,大模型呈现出蓬勃发展的态势,为人工智能行业的技术进步源源不断地注入创新活力。然而,在大模型开发者致力于提升模型效果、拓展模型能力的同时,大模型的安全性问题也不容忽视,亟待给予高度关注。 随着大模型架构复杂性持续提升,其面临的攻击面不断增多。 究其根本,导致缺陷与漏洞频发
继续阅读白帽子的 “挖宝游戏”:一篇文章搞懂 SRC 漏洞挖掘!小白必看! 原创 骇客安全 骇客安全 2025-03-16 22:05 【开头悬念】 你知道吗?2023 年全球因网络漏洞损失超10 万亿美元!但有一群神秘人,他们每天在互联网上 “寻宝”—— 不是金银财宝,而是隐藏在代码里的 “定时炸弹”。他们就是白帽子黑客,而他们的战场,就是今天的主角SRC! 🌟什么是 SRC?全网最接地气解读 SRC=
继续阅读Deep Java Library (DJL) CVE-2025-0851 漏洞复现与深度剖析 原创 HSCERT 山石网科安全技术研究院 2025-03-16 09:03 Java开发者注意!DJL框架中的一个漏洞可能让你的服务器面临被攻击的风险! 在当今数字化时代,深度学习框架的安全性至关重要。然而,即使是备受开发者青睐的开源框架也可能隐藏着潜在的安全漏洞。最近,Deep Java Libra
继续阅读深科特LEAN MES系统SMTLoadingMaterial SQL注入漏洞 Superhero Nday Poc 2025-03-15 15:06 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读卷不动Web渗透?世界500强导师带你用逻辑分析仪挖电网0day,薪资翻倍打卫星! 泷羽Sec-静安 泷羽Sec-静安 2025-03-14 22:18 听说00后用STM32黑进卫星 “只会软件攻防,薪资卡在20k?” 传统网络安全行业内卷加剧,软件渗透测试、Web漏洞挖掘岗位竞争白热化,而硬件攻防 却是一片蓝海—— – 某智能门锁被曝通过UART接口提取固件,破解家庭Wi-Fi密码
继续阅读微软2025年3月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2025-03-14 17:15 微软官方发布3月安全更新 请及时安装补丁修复 补丁概述 2025年3月11日,微软官方发布了3月安全更新,针对57个Microsoft CVE和10个non-Microsoft CVE进行修复。Microsoft CVE中,包含6个严重漏洞(Critical)、50个重要
继续阅读悬镜入选“移动互联网APP产品安全漏洞治理”十大优秀案例 原创 Xmirror 悬镜安全 2025-03-14 16:45 开源治理优秀案例颁奖现场 2025年3月13日,由中国软件评测中心、CAPPVD漏洞库联合主办的“第六期移动互联网APP产品安全漏洞技术沙龙”在海口成功召开。悬镜安全基于移动端数字供应链安全开源治理方案荣获中国软件评测中心“2024移动互联网APP产品安全漏洞治理”十大优秀案
继续阅读Ballista僵尸网络利用TP-Link漏洞,6千台设备被攻击 数世咨询 2025-03-14 16:02 未打补丁的 TP-Link Archer 路由器正成为一种名为 Ballista 的新型僵尸网络攻击的目标,这是 Cato CTRL 团队最新发现的。 01 攻击原理与传播方式 安全研究人员 Ofek Vardi 和 Matan Mittelman 在一份技术报告中表示:“该僵尸网络利用
继续阅读【安全圈】PHP XXE 注入漏洞让攻击者读取配置文件和私钥 安全圈 2025-03-13 19:00 关键词 安全漏洞 安全研究人员发现 PHP 应用程序存在一个复杂的 XML 外部实体 (XXE) 注入漏洞,该漏洞可能允许攻击者访问敏感配置文件和私钥。 该漏洞由研究员 Aleksandr Zhurnakov 发现,会影响在 XML 处理期间使用某些 libxml 标志的 PHP 应用程序,即使
继续阅读