ViewState再现漏洞:行业内又一款知名的 .NET 分析工具爆出反序列化漏洞
ViewState再现漏洞:行业内又一款知名的 .NET 分析工具爆出反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-03 08:20 在 .NET 中提供了丰富的状态管理机制,其中 ViewState 是最常见的一种。允许 Web 应用程序在页面回传时保持控件状态,无需依赖服务器端存储。然而,ViewState 的便利性也带来了潜在的安全风险——如果未正确配置,攻
继续阅读标签: 行业
漏洞预警 | 竞优商业租赁管理系统信息泄露漏洞
漏洞预警 | 竞优商业租赁管理系统信息泄露漏洞 浅安 浅安安全 2025-03-03 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 竞优商业租赁管理系统是一款面向商业地产、购物中心、写字楼、市场摊位、工业园区等行业的租赁管理软件,集成了合同管理、租金计算、财务结算、商户管理、资产管理等功能,帮助企业提升租赁管理效率,优化租金
继续阅读Apache MINA CVE-2024-52046漏洞复现分析
Apache MINA CVE-2024-52046漏洞复现分析 原创 HSCERT 山石网科安全技术研究院 2025-03-02 10:00 网络安全警报!Apache MINA 漏洞来袭。 互联网时代,网络安全问题层出不穷,稍有不慎就可能陷入巨大风险之中。 近日,一则关于Apache MINA的重大漏洞预警引发广泛关注,它究竟有何危害? 又该如何防范? 本文将为您详细解析 。 一、漏洞背景 美
继续阅读黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告
黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告 Ots安全 2025-03-01 11:20 我是如何意外发现互联网上最常被利用的 XSS 漏洞之一的 我的故事开头可能和许多技术博客的读者一样熟悉——又是一个独自坐在电脑前,平淡无奇的夜晚。出于纯粹的学习目的,我打开了一个 Chrome 隐身窗口,进入 Google,输入了“
继续阅读更新第3章!系统0day安全-Windows平台漏洞挖掘(第5期)
更新第3章!系统0day安全-Windows平台漏洞挖掘(第5期) 小雪 看雪学苑 2025-03-01 09:59 更新: 3.1 Syscall,Deviceloctrol原理讲解https://www.kanxue.com/book-194-5253.htm Windows操作系统广泛应用于各类企业和个人设备中,其安全性至关重要。 · 课程介绍 本课程将深入探讨Windows平台的漏洞挖掘技
继续阅读方正畅享全媒体新闻采编系统reportCenter.do/screen.do接口存在SQL注入 漏洞预警
方正畅享全媒体新闻采编系统reportCenter.do/screen.do接口存在SQL注入 漏洞预警 2025-2-28更新 南风漏洞复现文库 2025-02-28 22:22 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 方正畅
继续阅读2024漏洞风险启示录:在攻防的螺旋中寻找「治愈」之道
2024漏洞风险启示录:在攻防的螺旋中寻找「治愈」之道 腾讯安全 2025-02-28 10:24 前言 人类与疾病的抗争史,是一部不断自我超越的史诗。 正如医学的进步从未让病毒消亡,数字世界的安全防御也始终在与漏洞风险进行着一场永恒的博弈 ——安全从业者如同数字世界的「免疫系统」,在浩瀚数字世界中筛查病灶(漏洞感知)、合成抗体(漏洞修复)、构建防线(风险处置),周而复始地维系着企业数字机体的健康
继续阅读2025鱼影安全SRC精品课程第一期重磅来袭!《0基础到高级SRC漏洞赏金猎人!》
2025鱼影安全SRC精品课程第一期重磅来袭!《0基础到高级SRC漏洞赏金猎人!》 原创 落寞的魚丶 鱼影安全 2025-02-28 10:15 点击上方蓝字·关注我们 课程背景: 本次课程由 鱼影安全 团队研发出品! 落寞的🐟:阿里云博客专家 CSDN博客专家 华为云博客专家 网络安全领域优质创作者 中高职全国职业技能大赛国赛金牌培训讲师 CTF选手 青年工匠 需要比赛培训可以联系我 多次培训出
继续阅读2024漏洞风险启示录:在攻防的螺旋中寻找【治愈】之道
2024漏洞风险启示录:在攻防的螺旋中寻找【治愈】之道 云鼎实验室 2025-02-28 09:31 前言 人类与疾病的抗争史,是一部不断自我超越的史诗。 正如医学的进步从未让病毒消亡,数字世界的安全防御也始终在与漏洞风险进行着一场永恒的博弈 ——安全从业者如同数字世界的「免疫系统」,在浩瀚数字世界中筛查病灶(漏洞感知)、合成抗体(漏洞修复)、构建防线(风险处置),周而复始地维系着企业数字机体的健
继续阅读关于举办“数据安全技能能手”和移动互联网安全工程师(CAPPSEC)2025年第1期培训班的通知
关于举办“数据安全技能能手”和移动互联网安全工程师(CAPPSEC)2025年第1期培训班的通知 赛查查 2025-02-28 06:44 各相关单位: 为深入学习贯彻党的二十大精神,提升专业人才在数据安全领域的知识水平和技能素养,加强各行业数据安全人才队伍建设,在中国软件评测中心(工业和信息化部软件与集成电路促进中心)和数据安全关键技术与产业应用评价工业和信息化部重点实验室联合指导下,中国计算机
继续阅读0Day CNVD-2025-00727 某路由器未授权命令执行漏洞分析
0Day CNVD-2025-00727 某路由器未授权命令执行漏洞分析 原创 CSX安全实验室 安帝Andisec 2025-02-28 03:57 Part1 漏洞状态 漏洞细节 漏洞PoC 漏洞EXP 在野利用 有 有 无 未知 Part2 漏洞描述 漏洞名称 0Day 某路由器未授权命令执行漏洞 CVE编号 CNVD-2025-00727 漏洞类型 命令执行 漏洞等级 10.0 高危 (
继续阅读大模型微调爆出致命漏洞:可导致模型“黑化”
大模型微调爆出致命漏洞:可导致模型“黑化” GoUpSec 2025-02-28 02:12 GoUpSec点评:大模型微调作为当前AI应用落地的热点,正推动AI技术在各行业的深度融合。然而,一个与微调相关的巨大风险逐渐浮出水面:大模型微调不当,不仅会影响目标功能,还可能引发模型在其他领域发生紊乱,输出异常甚至有害的结果,导致整个大模型的黑化。这一发现凸显了大模型对齐的脆弱性,以及大模型微调的潜在
继续阅读.NET 逻辑绕过漏洞审计思路和挖掘
.NET 逻辑绕过漏洞审计思路和挖掘 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-28 00:34 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项逻辑绕过漏洞的发现引起了广泛关注。攻击者只需构造一个特定的URL请求,便能实现让接口泄露管理员敏感信息,包括用户名和密码, 因此,在日常的代码审计和评估的环节需要格外留意该漏洞类型引发的安全漏洞。 01
继续阅读告别CVE焦虑!KEV:已知被利用漏洞才是真威胁!
告别CVE焦虑!KEV:已知被利用漏洞才是真威胁! 华顺信安 2025-02-28 00:31 “ “截至2025年,全球新增漏洞数量屡屡突破新高,漏洞洪峰的来临,传统基于CVSS评分和SLA的漏洞管理策略已全面失效,面对漏洞治理效率困境,我们正在用20世纪的手术刀,应对21世纪的数字疫情。” ” 在当前复杂的网络安全环境中,稍具规模的企业通常会面临着数量庞大的漏洞基数,这使得全面修复所有漏洞变得
继续阅读网络安全事件分级分类
网络安全事件分级分类 原创 洁说安全 网络安全和等保测评 2025-02-27 23:05 网络安全事件分级分类是指根据网络安全事件的性质、危害程度、影响范围等因素,将其划分为不同的等级和类别,以便于采取相应的应对措施和管理策略。以下是对分级分类含义的详细解释: · 含义 · 1.网络安全事件分级 是对网络安全事件的严重程度进行量化和区分,一般从低到高分为不同级别,主要目的是为了清晰地界定事件的危
继续阅读专题·漏洞人才培养 | 网络安全实战人才培养的难点和对策
专题·漏洞人才培养 | 网络安全实战人才培养的难点和对策 原创 王作为 魏浩 中国信息安全 2025-02-27 10:07 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 中国信息安全测评中心华中测评中心(湖南省信息安全测评中心) 王作为 魏浩 随着互联网技术的发展,网络空间已成为国家安全与发展的重要领域。网络安全威胁呈现出复杂多变和全方位的特点,传统
继续阅读风云卫×DeepSeek-R1(四):当AI侦探团遇上“漏洞迷案”
风云卫×DeepSeek-R1(四):当AI侦探团遇上“漏洞迷案” 绿盟科技 2025-02-27 09:56 全文共3126字,阅读大约需6分钟。 在绿盟科技,一场关于漏洞分析的“最强大脑”对决正悄然上演。绿盟科技的安全专家将DeepSeek-R1的深度推理能力应用于漏洞情报分析,探索其在这一领域的潜力与可行性。在与风云卫安全大模型进行实测对比后,我们发现,DeepSeek-R1在问题分解和知识
继续阅读9.9分漏洞或导致2850多台Ivanti设备系统完全受损;三星系统推出业界首款后量子加密芯片S3SSE2A | 牛览
9.9分漏洞或导致2850多台Ivanti设备系统完全受损;三星系统推出业界首款后量子加密芯片S3SSE2A | 牛览 安全牛 2025-02-27 09:39 点击蓝字·关注我们 / aqniu 新闻速览 •OpenSSF发布Linux开源软件安全基线标准 •红队工具MITRE Caldera关键漏洞曝光,PoC代码已公开 •黑客组织EncryptHub疯狂入侵618家机构,盗取敏感数据 •
继续阅读创宇安全智脑 | NUUO 网络录像机 handle_site_config.php 远程命令执行等67个漏洞可检测
创宇安全智脑 | NUUO 网络录像机 handle_site_config.php 远程命令执行等67个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-02-27 09:10 创宇安全智脑是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和
继续阅读众智维发布|天巢SkyNest R1多模态版本 – 网络安全风险的睿智“听风者”
众智维发布|天巢SkyNest R1多模态版本 – 网络安全风险的睿智“听风者” 众智维安 2025-02-27 06:00 在当今数字化浪潮席卷全球的时代,网络安全已成为保护企业和个人数字信息资产的核心关键与命脉所在。 南京众智维信息科技有限公司(以下简称:众智维科技)自主开发的天巢SkyNest安全风险运营平台(以下简称:SkyNest)应运而生,依托OPENX麒麟实验室的顶尖技术
继续阅读【漏洞通告】NAKIVO Backup & Replication任意文件读取漏洞
【漏洞通告】NAKIVO Backup & Replication任意文件读取漏洞 安迈信科应急响应中心 2025-02-27 05:59 01 漏洞概况 NAKIVO Backup & Replication 是一款专注于虚拟化、云端及混合环境的备份与灾难恢复的解决方案。 攻击者可利用STPreLoadManagement 类中的 getImageByPath
继续阅读.NET 通过代码审计发现某办公系统逻辑绕过漏洞可泄露管理员账户和密码
.NET 通过代码审计发现某办公系统逻辑绕过漏洞可泄露管理员账户和密码 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-27 00:27 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项逻辑绕过漏洞的发现引起了广泛关注。攻击者只需构造一个特定的URL请求,便能实现让接口泄露管理员敏感信息,包括用户名和密码, 因此,在日常的代码审计和评估的环节需要格外留
继续阅读灵当CRM Ambassador接口处存在SQL注入漏洞 漏洞预警
灵当CRM Ambassador接口处存在SQL注入漏洞 漏洞预警 2025-2-26更新 南风漏洞复现文库 2025-02-26 15:19 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 灵当CRM 简介 微信公众号搜索:南风漏洞复
继续阅读“后大航海时代”,网络安全行业转型思考
“后大航海时代”,网络安全行业转型思考 锐安全 2025-02-26 14:24 张晓兵,掌数信息首席战略官(CSO),网安领域资深专家,网络安全体系的思考者与践行者。 2024年受邀参加由中国广播电视社会组织联合会等联合主办的“人工智能技术培训班”,以 “AI大时代: 我们的AI实践之路”为主题进行了技术分享。 网络安全行业到底出了什么问题?当问题抛给张晓兵——这个对行业现状、技术发展和未来趋势
继续阅读安全通告丨网络安全漏洞通告(2025年2月)
安全通告丨网络安全漏洞通告(2025年2月) 创信华通 2025-02-26 10:59 作为国内权威的安全漏洞通告组织,创信华通基于自身的威胁情报和漏洞挖掘能力,对全球最新的安全漏洞及安全事件进行跟踪研究,在第一时间向用户提供高危漏洞、威胁攻击的解决办法及情报资讯,以帮助用户提升网络安全的预警和响应能力。 一、 漏洞态势 / 2025.2 高危漏洞预警 在第一时间内向用户发布高危漏洞预警,通告漏
继续阅读【漏洞通告】PostgreSQL SQL注入漏洞
【漏洞通告】PostgreSQL SQL注入漏洞 安迈信科应急响应中心 2025-02-26 07:43 01 漏洞概况 PostgreSQL是一个开源、强大的关系型数据库管理系统,支持SQL标准及扩展,广泛应用于企业级应用。它具备高可靠性、可扩展性、数据完整性和并发控制功能,支持多种编程语言和扩展机制。 PostgreSQL的libpq函数(如PQescapeLiteral()、
继续阅读【漏洞通告】Exim存在SQL注入漏洞
【漏洞通告】Exim存在SQL注入漏洞 安迈信科应急响应中心 2025-02-26 07:43 01 漏洞概况 Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,主要用于在Unix和类Unix系统中发送、接收和转发电子邮件。该产品主要使用客户行业分布广泛。 攻击者可以通过向易受攻击的Exim服务器发送特制的ETRN请求来利用此漏洞,从而可能导
继续阅读【漏洞通告】Google Chrome V8堆缓冲区溢出漏洞
【漏洞通告】Google Chrome V8堆缓冲区溢出漏洞 安迈信科应急响应中心 2025-02-26 07:43 01 漏洞概况 Google Chrome V8是一个高效的开源JavaScript引擎,用于Chrome浏览器和Node.js等平台。V8将JavaScript代码编译为机器码,以提高执行效率,优化浏览器性能。它支持即时编译(JIT)和垃圾回收机制,通过内存管理和优化算
继续阅读【漏洞通告】深信服EasyConnect 客户端存在本地提权漏洞
【漏洞通告】深信服EasyConnect 客户端存在本地提权漏洞 安迈信科应急响应中心 2025-02-26 07:43 01 漏洞概况 深信服EasyConnect是由深信服科技(Sangfor Technologies)开发的一款SSL VPN客户端软件,用于实现企业用户远程安全接入内网资源。其核心功能包括身份认证、数据传输加密及访问权限管理。 获取PC普通权限前提下,在本
继续阅读中国信息安全测评中心主任彭涛:筑牢网络安全漏洞人才基石,打造漏洞治理新范式
中国信息安全测评中心主任彭涛:筑牢网络安全漏洞人才基石,打造漏洞治理新范式 CNNVD安全动态 2025-02-26 07:36 文 | 中国信息安全测评中心主任 彭涛 当今世界正经历百年未有之大变局,网络空间面临前所未有的安全挑战。网络安全漏洞作为网络空间的核心资源,正成为各国经略网络空间、升级网络防御的战略焦点,打造系统、高效的漏洞治理新范式也成为筑牢网络安全防线的关键举措。网络攻防核心在于漏
继续阅读