【安全圈】施乐打印机漏洞使攻击者能够从 LDAP 和 SMB 中获取身份验证数据
【安全圈】施乐打印机漏洞使攻击者能够从 LDAP 和 SMB 中获取身份验证数据 安全圈 2025-03-13 19:00 关键词 安全漏洞 企业级 Xerox Versalink C7025 多功能打印机 (MFP) 中的多个漏洞使攻击者能够拦截来自轻量级目录访问协议 (LDAP) 和服务器消息块 (SMB) 服务的身份验证凭据。 这些漏洞被指定为 CVE-2024-12510 和 CVE-2
继续阅读标签: 行业
MFA告急!黑客利用高级技术绕过保护;WebKit零日漏洞被利用开展“极其复杂”定向攻击,苹果紧急修复 | 牛览
MFA告急!黑客利用高级技术绕过保护;WebKit零日漏洞被利用开展“极其复杂”定向攻击,苹果紧急修复 | 牛览 安全牛 2025-03-13 18:36 新闻速览 •英国网络安全行业收入增长12%突破130亿英镑 •机器身份数量超过人类用户4万倍,风险增加7.5倍 •MFA告急!黑客利用高级技术绕过保护 •微软修复6个零日漏洞和10个高风险漏洞 •新型Ebyte勒索软件来袭,采用先进加密策略攻击
继续阅读谷歌 2024 年漏洞赏金计划,1200 万美元奖励安全研究人员,诚邀白帽黑客找bug
谷歌 2024 年漏洞赏金计划,1200 万美元奖励安全研究人员,诚邀白帽黑客找bug 数世咨询 2025-03-12 16:00 2024 年,谷歌向参与漏洞奖励计划(VRP)的 660 名研究人员支付了 1200 万美元的 漏洞赏金。 谷歌漏洞奖励计划的重点是保护谷歌产品的安全并发现新的漏洞,要求研究人员填写一份表格,提供漏洞的技术细节,每个部分都有自己的 一套规则 ,参与者必须遵守这些规则,
继续阅读360漏洞情报月报2025年02期|全网捕获4000+漏洞,整体威胁水平处于高位
360漏洞情报月报2025年02期|全网捕获4000+漏洞,整体威胁水平处于高位 360漏洞云 2025-03-12 10:39 近日,360漏洞云情报平台发布2025年2月漏洞情报月报,综合分析当月全网漏洞安全态势,人工深度研判分析重点预警漏洞,并披露多起具有战略价值的网络安全事件。本文特摘录核心内容,为政企机构提供防御参考。 月报数据显示,2025年2月全网捕获漏洞4,078例,较2024年同
继续阅读JAVA 代码审计第一课:环境搭建与SQL 注入漏洞
JAVA 代码审计第一课:环境搭建与SQL 注入漏洞 sec0nd安全 2025-03-11 23:07 很久没有审计了,所以想出一期审计内容,整体内容偏简单,我默认你们会基本的 java 语言,所以就不带你们学习相关的语言基础,废话少说,直接开篇 审计环境 jdk 下载 https://www.oracle.com/technetwork/java/javase/downloads/jdk8-d
继续阅读【已复现】Apache Tomcat存在远程代码执行漏洞(CVE-2025-24813)
【已复现】Apache Tomcat存在远程代码执行漏洞(CVE-2025-24813) 安恒研究院 安恒信息CERT 2025-03-11 18:40 漏洞概述 漏洞名称 Apache Tomcat存在远程代码执行漏洞(CVE-2025-24813) 安恒CERT评级 2级 CVSS3.1评分 8.1(安恒自评) CVE编号 CVE-2025-24813 CNVD编号 未分配 CNNVD编号 未
继续阅读这个严重的PHP漏洞正遭大规模利用
这个严重的PHP漏洞正遭大规模利用 Ionut Arghire 代码卫士 2025-03-11 18:25 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁情报公司 GreyNoise 提到,威胁行动者们已开始大规模利用PHP中的一个严重漏洞CVE-2024-4577,它可导致攻击者在易受攻击服务器上实现远程代码执行。 该漏洞的CVSS评分为9.8,可在使用Apache 和 PHP-CG
继续阅读漏洞研究和漏洞利用技术领域的本质演变
漏洞研究和漏洞利用技术领域的本质演变 原创 天御 天御攻防实验室 2025-03-11 14:39 现代漏洞研究与攻防演变分析 现代漏洞研究和漏洞利用技术领域正经历着本质性的演变,反映了网络安全攻防间的”进化竞赛”。本文从多个维度分析这一动态发展过程。(备注:基于漏洞研究员之间的对话整理) 现实世界中的漏洞开发的一个关键特征是独特性,基于难度(漏洞真的很难发现)成为一个因素
继续阅读CISA:Edimax 摄像头中的严重0day漏洞已遭利用
CISA:Edimax 摄像头中的严重0day漏洞已遭利用 Eduard Kovacs 代码卫士 2025-03-10 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA上周披露称,多个僵尸网络正在利用 Edimax IP摄像头中的 0day 漏洞。 CISA 发布安全公告提醒 Edimax IC-7100 IP摄像头用户称,该产品受一个严重的命令注入漏洞CVE-2025-
继续阅读山石网科入选国家工业信息安全漏洞库CICSVD技术组成员单位
山石网科入选国家工业信息安全漏洞库CICSVD技术组成员单位 工业安全实验室 山石网科安全技术研究院 2025-03-10 14:50 协同开展工业漏洞监测与应急处置 近日,国家工业信息安全漏洞库(简称CICSVD)按照《关于开展国家工业信息安全漏洞库新成员单位遴选及成员单位续期通知》要求,经专家评审、能力考核等环节,遴选出国家工业信息安全漏洞库技术组成员单位,山石网科顺利入选。 本次入选CICS
继续阅读MWC2025 | 华为网络安全产品通过全球权威标准机构BSI首批漏洞管理体系认证
MWC2025 | 华为网络安全产品通过全球权威标准机构BSI首批漏洞管理体系认证 华为安全 2025-03-08 21:06 [西班牙,巴塞罗那,2025年3月5日] MWC25巴塞罗那期间,华为面向全球网络安全技术精英、行业客户、专家学者等举办了网络安全专题研讨会(全球),共同研讨网络安全数据治理、安全技术、SASE(安全访问服务边缘)、漏洞管理等热点话题。会上,华为宣布网络安全产品通过全球权
继续阅读【安全圈】紧急预警|Elastic Kibana 高危漏洞,可远程执行代码,速修复
【安全圈】紧急预警|Elastic Kibana 高危漏洞,可远程执行代码,速修复 安全圈 2025-03-08 19:00 关键词 漏洞 漏洞背景 近日,Elastic 官方紧急发布安全更新,修复了 Kibana(Elasticsearch 数据可视化平台) 中一个 CVSS 评分9.9 的严重漏洞(CVE-2025-25012)。该漏洞源于 原型污染缺陷,攻击者可通过构造恶意文件上传和特制 H
继续阅读苹果设备的“锁屏漏洞”:CVE-2025-24200如何被攻击者利用?
苹果设备的“锁屏漏洞”:CVE-2025-24200如何被攻击者利用? HSCERT 山石网科安全技术研究院 2025-03-08 09:01 苹果设备的USB限制模式被绕过,你的隐私还安全吗? 在当今数字化时代,智能手机的安全性已经成为我们生活中不可或缺的一部分。苹果公司一直以其严格的安全机制著称,但最近一个名为CVE-2025-24200的漏洞却引发了广泛关注。接下来以一篇深度文章[1],带你
继续阅读VMware ESXi 报告新漏洞,波兰航天局遭受网络攻击 | 一周特辑
VMware ESXi 报告新漏洞,波兰航天局遭受网络攻击 | 一周特辑 威努特安全网络 2025-03-08 07:59 VMware ESXi 漏洞 增加勒索攻击的风险 前段时间,VMware 所有者 Broadcom 通知 ESXi、Workstation 和 Fusion 客户,他们已为目前可被利用的三个0day漏洞提供了补丁。 这些漏洞被跟踪为 CVE-2025-22224、CVE-20
继续阅读全球近5W个访问管理系统存在严重安全漏洞
全球近5W个访问管理系统存在严重安全漏洞 FreeBuf 2025-03-07 19:53 荷兰IT安全咨询公司Modat发现,全球范围内部署的约49,000个访问管理系统(AMS)存在严重的安全漏洞。这些系统本应通过密码、生物识别和多因素认证等身份验证方法控制建筑物访问,然而却因关键配置错误导致敏感数据暴露,使设施面临未经授权进入的风险。 此次发现暴露了一个跨越多个领域的重大全球性安全威胁,涉及
继续阅读打印机变间谍?揭秘施乐设备中的致命漏洞!
打印机变间谍?揭秘施乐设备中的致命漏洞! HSCERT 山石网科安全技术研究院 2025-03-07 19:30 您的办公室打印机可能正成为黑客入侵的后门! 在数字化办公日益普及的今天,打印机作为企业办公的必备设备,其安全性却往往被忽视。然而,最新披露的施乐打印机漏洞(CVE-2024-12510和CVE-2024-12511)却给企业信息安全敲响了警钟。接下来,让我们通过一篇文章,来一探究竟吧!
继续阅读当风云卫拥抱DeepSeek发生了哪些? –从漏洞验证到自动修复的优化之路
当风云卫拥抱DeepSeek发生了哪些? –从漏洞验证到自动修复的优化之路 原创 创新研究院 绿盟科技研究通讯 2025-03-07 19:28 一. 前言 近期,Deepseek-R1[1]凭借在多项核心评测基准中的优异表现,尤其是在代码层面,展现出了强大的推理能力和高效的性能,能够有效支持开发者完成复杂的编程任务。那么,Deepseek-R1是否会给代码审计带来智能化变革呢? 本
继续阅读实力认证!360入选国家工业信息安全漏洞库技术组成员单位
实力认证!360入选国家工业信息安全漏洞库技术组成员单位 360漏洞云 2025-03-07 17:49 近日,国家工业信息安全漏洞库(简称:CICSVD)公布了技术组成员单位名单。360数字安全集团凭借其在工业信息领域的杰出贡献和卓越实力,成功入选CICSVD技术组成员单位。 CICSVD是在工信部指导下成立的专注于工业控制产品领域安全漏洞管理的国家级专业库,旨在面向关键信息基础设施等重要行业打
继续阅读专题·漏洞人才培养 | 知攻善防,内外兼修,网络安全实战人才培养的实践之道
专题·漏洞人才培养 | 知攻善防,内外兼修,网络安全实战人才培养的实践之道 原创 杨坤 余慧英 袁胜 中国信息安全 2025-03-07 17:39 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 北京长亭科技有限公司 杨坤 余慧英 袁胜 习近平总书记指出,“网络空间的竞争,归根结底是人才竞争”。面对当前日益严峻的网络空间安全态势,高水平高质量的专业网络
继续阅读公安部网安局提醒:警惕5种个税汇算骗局;新型勒索团伙SecP0出新招:威胁公开未披露软件漏洞 | 牛览
公安部网安局提醒:警惕5种个税汇算骗局;新型勒索团伙SecP0出新招:威胁公开未披露软件漏洞 | 牛览 安全牛 2025-03-07 15:48 点击蓝字·关注我们 / aqniu 新闻速览 •公安部网安局提醒:警惕5种个税汇算骗局 •工信部CSTIS提醒:防范针对DeepSeek本地化部署实施网络攻击的风险 •NIST发布《评估差分隐私保证指南》 •5欧元二手硬盘藏15GB敏感医疗记录,数据
继续阅读利用 3000 条大字典 MachineKeys 爆破 ViewState 反序列化漏洞
利用 3000 条大字典 MachineKeys 爆破 ViewState 反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-07 08:39 MachineKeys 负责加密和解密敏感数据,确保服务器端的安全性。然而,一旦这些密钥被泄露,攻击者便可解密受保护的数据,并可能用 ViewState 反序列化漏洞执行恶意代码。Sharp4DotNetBurst 正是这
继续阅读2025上半年最需要关注的80+高危漏洞!
2025上半年最需要关注的80+高危漏洞! 原创 微步情报局 微步在线研究响应中心 2025-03-07 08:29 当2025的阳光爬上机房的玻璃窗,攻击者的漏洞同样追着光登场。 微步情报局从 漏洞活跃程度、利用难易度、影响面、实网攻击行为情况 等多个维度,梳理出2025年 80+最需要各位师傅关注的高危漏洞 ,涵盖 应用系统、中间件、数据库、操作系统,大模型、安全产品 等关键对象,99%都是R
继续阅读专题·漏洞人才培养 | 实战化漏洞安全人才培养 为新质生产力保驾护航
专题·漏洞人才培养 | 实战化漏洞安全人才培养 为新质生产力保驾护航 CNNVD安全动态 2025-03-06 21:33 文 | 中国移动网络与信息安全管理部 徐一 随着数字化进程的持续推进,各类信息系统和数字资产的大规模建设与广泛应用,带来了日益增多的漏洞安全风险。当前,网络安全形势日趋严峻,外部环境的不确定性进一步加剧,对各类系统应用的安全构成了持续威胁。漏洞作为攻击入侵的重要突破口,同时也
继续阅读逾10亿美元Bybit被盗加密货币已初步进行洗钱,引发全球追踪;WordPress插件RCE漏洞曝光,威胁超10万网站 | 牛览
逾10亿美元Bybit被盗加密货币已初步进行洗钱,引发全球追踪;WordPress插件RCE漏洞曝光,威胁超10万网站 | 牛览 安全牛 2025-03-06 17:42 点击蓝字·关注我们 / aqniu 新闻速览 •合规压力过大,金融机构敦促CISA修订网络事件报告规则 •暗网Nemesis管理员遭美国财政部制裁 •逾10亿美元Bybit被盗加密货币已初步进行洗钱,引发全球追踪 •AI伪造
继续阅读MachineKeys 大字典:利用 3000 条 MachineKeys 爆破 ViewState 反序列化漏洞
MachineKeys 大字典:利用 3000 条 MachineKeys 爆破 ViewState 反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-06 08:20 MachineKeys 负责加密和解密敏感数据,确保服务器端的安全性。然而,一旦这些密钥被泄露,攻击者便可解密受保护的数据,并可能用 ViewState 反序列化漏洞执行恶意代码。Sharp4Dot
继续阅读第22周更新: 反序列化漏洞(三)ThinkPHP反序列链分析 | CTF训练营-Web篇
第22周更新: 反序列化漏洞(三)ThinkPHP反序列链分析 | CTF训练营-Web篇 看雪课程 看雪学苑 2025-03-05 18:00 第二十二周: 反序列化漏洞(三)ThinkPHP反序列链分析 本周我们将对ThinkPHP框架中的反序列化链做一个分析讲解。经过本周的学习,同学们将掌握基础的框架反序列化链的挖掘。 今日更新: 第一章 ThinkPHP 框架的反序列化漏洞分析与挖掘思路
继续阅读CISA漏洞目录竟成勒索攻击“灵感”?28%漏洞被利用;新型网络钓鱼活动滥用微软SharePoint部署Havoc后门 | 牛览
CISA漏洞目录竟成勒索攻击“灵感”?28%漏洞被利用;新型网络钓鱼活动滥用微软SharePoint部署Havoc后门 | 牛览 安全牛 2025-03-04 18:07 点击蓝字·关注我们 / aqniu 新闻速览 •TikTok和Reddit等社交平台在英国受调查,涉嫌侵犯儿童隐私 •CISA漏洞目录竟成勒索攻击“灵感”?28%漏洞被利用 •CISA警告:思科小型企业路由器漏洞遭在野利用
继续阅读行业内又一款知名的 .NET 分析工具爆出反序列化漏洞
行业内又一款知名的 .NET 分析工具爆出反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-04 08:20 在 .NET 中提供了丰富的状态管理机制,其中 ViewState 是最常见的一种。允许 Web 应用程序在页面回传时保持控件状态,无需依赖服务器端存储。然而,ViewState 的便利性也带来了潜在的安全风险——如果未正确配置,攻击者可能利用其反序列化漏洞,
继续阅读地图大师SRC漏洞挖掘课程学员突破800人!感恩回馈,免费再加一套DLC课程,助你挖洞无忧!
地图大师SRC漏洞挖掘课程学员突破800人!感恩回馈,免费再加一套DLC课程,助你挖洞无忧! 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2025-03-03 22:13 01**** 突破 时间飞逝,转眼间我们已经有800位师傅一起共同进步。当初说过,学会了大师的技术就要把大师拍在沙滩上,如今许多人已经做到了,这让我无比骄傲。感谢大家的信任与支持,作为回馈,我决定免费追加一门DLC课程,继续陪
继续阅读攻击链揭露:间谍软件利用零日漏洞攻破安卓手机锁屏
攻击链揭露:间谍软件利用零日漏洞攻破安卓手机锁屏 安全客 2025-03-03 15:46 近日,国际特赦组织与谷歌的威胁分析小组联合揭露了一个复杂的网络间谍事件,塞尔维亚当局利用由以色列数字情报公司Cellebrite提供的零日漏洞攻击安卓设备。该事件涉及通过物理接触目标设备,绕过锁屏保护并提取敏感数据,揭示了数字取证工具在政府监控中的滥用,以及安卓系统在防范物理访问攻击方面的严重漏洞。 01
继续阅读