大量岗位招聘!护网、等保-密评内推、实习、渗透测试工程师
大量岗位招聘!护网、等保-密评内推、实习、渗透测试工程师 原创 棉花糖糖糖 棉花糖fans 2025-02-26 06:04 Job Offers 招聘信息 棉花糖可代发招聘信息,完全免费,但有以下几点要求: 1、拒绝中介,需要您出示您所在招聘公司就职的证明; 2、招聘信息以boss直聘格式为标准,参考本篇文章招聘信息; 3、您需严格遵守法律,劳动合同等一系列法律层面的文件您必须齐全,同时在此声明
继续阅读标签: 行业
Fluent Bit 0-day漏洞使数十亿生产环境面临网络攻击威胁
Fluent Bit 0-day漏洞使数十亿生产环境面临网络攻击威胁 e安在线 e安在线 2025-02-26 03:26 研究人员发现了 Fluent Bit 中的关键 0-day 漏洞,这款日志收集工具广泛应用于 AWS、Google Cloud 和 Microsoft Azure 等主要云服务提供商的云基础设施中。这两个漏洞被追踪为 CVE-2024-50608 和 CVE-2024-506
继续阅读漏洞攻击?拦了!数据呢?丢了!
漏洞攻击?拦了!数据呢?丢了! ThreatBook 微步在线 2025-02-26 00:30 最近老王遇到了一件怪事: 明明旁路部署的IPS阻断了一次Nday,但还是泄露了数据。 事情是这样的,近期有人频繁在非工作时间登录Zabbix,疑似账户失窃。在确认非本人操作后,老王排查到了一次被IPS拦截的Grafana漏洞攻击, 随后便出现了异常登录 。该漏洞可导致Grafana与Zabbix集成时
继续阅读通过ROP实现RCE的一次技术探索之旅
通过ROP实现RCE的一次技术探索之旅 山石网科 山石网科安全技术研究院 2025-02-25 17:21 **ROP实现RCE:这不是魔法,这是技术的魅力!**** 在网络安全领域,远程代码执行(RCE)一直是攻击者和防御者关注的焦点。 今天,为大家带来一篇深度文章[1],它将引领我们深入探讨如何通过ROP(Return-Oriented Programming)实现RCE。 一、前言 在红队演
继续阅读百万赏金漏洞猎人带挖,零基础解锁美刀收入!(3月3日开课)
百万赏金漏洞猎人带挖,零基础解锁美刀收入!(3月3日开课) 来给你一口甜 扶楹安全 2025-02-25 16:00 点击上方蓝字关注我们 🔐【3月3日开课】0基础网络安全班限招20人!最后17席速抢! ⏰ 开课时间 :2023年3月3日 🎯 招生计划 :仅限20人(已报名3人,剩余席位告急!) 🌟 课程特色 :行业专家全程指导 + 企业级实战案例 + 就业指导 🔥 为什么选择我们? ✅ 零门槛入
继续阅读特朗普“跪舔”马斯克虚假视频惊现美国政府部门大楼;CISA紧急警告:Oracle Agile高危反序列化漏洞正被活跃利用 |牛览
特朗普“跪舔”马斯克虚假视频惊现美国政府部门大楼;CISA紧急警告:Oracle Agile高危反序列化漏洞正被活跃利用 |牛览 安全牛 2025-02-25 10:02 点击蓝字·关注我们 / aqniu 新闻速览 •特朗普“跪舔”马斯克虚假视频惊现美国政府部门大楼 •澳大利亚政府出于安全顾虑,禁用卡巴斯基软件 •CISA紧急警告:Oracle Agile高危反序列化漏洞正被活跃利用 •由1
继续阅读碰撞 .NET machineKey 实现远程代码执行漏洞
碰撞 .NET machineKey 实现远程代码执行漏洞 专攻.NET安全的 dotNet安全矩阵 2025-02-25 00:20 近期,Microsoft Threat Intelligence监测到一起由未知威胁行动者发起的攻击事件。该行动者利用从公开资源中获取的 .NET 机器密钥,成功注入了恶意代码,并部署了Godzilla,尽管其活动范围有限。经调查,发现问题的根源在于部分开发人员错
继续阅读【安全圈】CVE-2024-56000(CVSS9.8):KLEO WordPress 主题中存在的账户接管漏洞
【安全圈】CVE-2024-56000(CVSS9.8):KLEO WordPress 主题中存在的账户接管漏洞 安全圈 2025-02-24 11:03 关键词 安全漏洞 在 KLEO WordPress 主题中发现了一个严重漏洞,攻击者有可能借此接管用户账户。 该漏洞编号为 CVE-2024-56000,CVSS 评分达 9.8,受影响的是 K Elements 插件,它与 KLEO 主题捆绑
继续阅读漏洞致大模型遭“零元购”?360全方位守护企业AI系统安全
漏洞致大模型遭“零元购”?360全方位守护企业AI系统安全 360数字安全 2025-02-24 10:07 News Today 随着以DeepSeek为代表的开源大模型逐渐渗透到各行各业,引发新一代人工智能技术发展新浪潮。然而,一些企业或个人在本地部署大模型时,由于配置不当导致服务暴露于公网,直接引发了严重的安全问题。攻击者免费利用这些暴露的服务可以随意调用大模型资源,不仅造成资源滥用,还可能
继续阅读【安全圈】马斯克DOGE网站数据库存在漏洞,任何人可随意篡改内容
【安全圈】马斯克DOGE网站数据库存在漏洞,任何人可随意篡改内容 安全圈 2025-02-23 11:01 关键词 安全漏洞 近日,埃隆·马斯克旗下的政府部门效率部(DOGE)因推出存在严重安全漏洞的官方网站而陷入舆论风波。该网站被曝使用未加密的外部数据库,导致任何人皆可未经授权修改其内容。这一漏洞由两名网络开发专家发现,并迅速被不法分子利用,在网站上发布讽刺性信息,引发公众对DOGE部门安全实践
继续阅读风险评估架构,终于让风险露脸了!
风险评估架构,终于让风险露脸了! 原创 晓兵Jason 锐安全 2025-02-22 15:24 本文 2109 字,阅读时长 8 分钟 指给你我看到的远方,助力你走得更远 经过前几周的铺垫,今天,终于让风险有了一个清晰的样子。 在信息泛滥和摊平的今天,其实我们越来越需要“知识蒸馏”工程,把知识用认知的框架再压缩一次。 每一次信息平权,其实都是更高维度的信息霸权。 来,咱们一起掌握新的“信息霸权”
继续阅读ViewStates 漏洞,利用 .NET 机器密钥实施代码注入攻击
ViewStates 漏洞,利用 .NET 机器密钥实施代码注入攻击 专攻.NET安全的 dotNet安全矩阵 2025-02-22 07:32 近期,Microsoft Threat Intelligence监测到一起由未知威胁行动者发起的攻击事件。该行动者利用从公开资源中获取的 .NET 机器密钥,成功注入了恶意代码,并部署了Godzilla,尽管其活动范围有限。经调查,发现问题的根源在于部分
继续阅读高危:Ollama远程代码执行漏洞
高危:Ollama远程代码执行漏洞 原创 吉祥 吉祥快学网络安全吧 2025-02-22 04:28 近期,开源AI模型部署工具Ollama曝出高危远程代码执行漏洞(CVE-2024-37032),CVSS评分高达9.1,攻击者无需身份验证即可通过接口操控服务器,实现任意代码执行 。这一漏洞已在全球范围内影响近6000台暴露在公网的Ollama服务器。本文将深入解析漏洞原理、危害及修复方案,并附技
继续阅读漏洞预警 | 月子会所ERP管理云平台任意文件上传漏洞
漏洞预警 | 月子会所ERP管理云平台任意文件上传漏洞 浅安 浅安安全 2025-02-22 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 月子会ERP管理云平台是由武汉金同方科技有限公司研发团队结合行业月子中心相关企业需求开发的一套综合性管理软件。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 控制服务器 简述:
继续阅读5th域安全微讯早报【20250222】046期
5th域安全微讯早报【20250222】046期 网空闲话 网空闲话plus 2025-02-21 23:58 2025-02-22 星期六Vol-2025-046 今日热点导读 1. 五角大楼加速“网络司令部 2.0 ”审查,要求列出权限愿望清单 DISA :国防部将在财年末实现所有军种的联合 ICAM 连接 3. 美国成立特别工作组管控人工智能和加密货币 Bybit 交易所遭黑客攻击,损
继续阅读[开源 Prompt] AI 增强的漏洞优先级排序
[开源 Prompt] AI 增强的漏洞优先级排序 原创 tonghuaroot RedTeam 2025-02-21 12:15 Databricks 利用 LLM 针对第三方组件漏洞进行优先级排序,准确率达到了85%,安全团队人工分析的工作量减少了超过95%。 前言 如何针对第三方组件的安全漏洞进行修复的优先级排序是一个行业难题。人工监控和分析每天发布的大量安全漏洞信息的成本非常高。 Data
继续阅读25年HVV中的0day防护手法
25年HVV中的0day防护手法 吉祥讲安全 2025-02-21 11:27 以下是对0day漏洞如何防,基本上是每次HVV中大家都会提到的,今天总结了100day防护手段。 护网相关的资料已经上架了,1、23/24年HVV的情报、洞等;护网准备工作:方案、护网清单、技战法;护网设备部署:BAS、NDR、EDR等 ;护网面试:初中高、主防怎么面。 —–文末见领取方式9w字
继续阅读每周网络安全简讯 ( 2025年 第8周 )
每周网络安全简讯 ( 2025年 第8周 ) 国信中心 极客安全 2025-02-21 08:44 2024年2月15日至2025年2月21日,国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理,并按APT攻击、勒索攻击、网络动态、漏洞资讯、木马病毒进行了归类,共计19条。 01 APT攻击 01 APT组织Lazarus利用Marstech1恶意程序对目标用户实施
继续阅读“万模裸奔”,DeepSeek正颠覆网络安全行业游戏规则
“万模裸奔”,DeepSeek正颠覆网络安全行业游戏规则 GoUpSec 2025-02-21 02:13 GoUpSec点评:“村村点火”的生成式AI正引发一场企业网络安全革命。AI工具引入了全新的攻击媒介和数据安全威胁,传统的静态防御体系已形同虚设,网络安全行业面临一场技术/工具、方法和技能的全面更新。 对于企业而言,AI既是提升生产力的强大工具,同时也为攻击者和恶意内部人员提供了“大杀器”。
继续阅读05 漏洞从哪里来?——体系痼疾(制度化)
05 漏洞从哪里来?——体系痼疾(制度化) 原创 Richard 方桥安全漏洞防治中心 2025-02-21 00:00 本文跳出技术、工具、人员等具体因素,从管理制度、企业所在的政策法规环境探讨软件安全漏洞的成因。安全如果不在企业管理层的议事清单中,很难真正做到有效治理。企业当下面临 (1)相对严格的法律法规环境 和 (2)相对更具威胁的生存环境的双重压力,如何重塑企业管理制度,赋予安全适当的地
继续阅读5th域安全微讯早报【20250221】045期
5th域安全微讯早报【20250221】045期 网空闲话 网空闲话plus 2025-02-20 22:38 2025-02-21 星期五Vol-2025-045 今日热点导读 1. 俄数字发展部提议豁免信息安全公司免受个人数据法约束 2. 意大利计划打造本土低轨道卫星系统,替代 Starlink 3. 美国证券交易委员会重塑加密货币部门,聚焦新兴技术监管 4. 美军网络司令部呼吁各军
继续阅读盛邦安全入选国家工业信息安全漏洞库(CICSVD)成员单位,助力工控安全漏洞治理
盛邦安全入选国家工业信息安全漏洞库(CICSVD)成员单位,助力工控安全漏洞治理 盛邦安全WebRAY 2025-02-20 10:24 近日,国家工业信息安全发展研究中心公示了国家工业信息安全漏洞库(CICSVD)成员单位名单, 盛邦安全凭借在在工业信息安全领域多年的技术积累和专业能力成功入选CICSVD技术组成员单位 。 国家工业信息安全漏洞库(简称CICSVD)由工业和信息化部指导,是工业控
继续阅读创宇安全智脑 | 科立讯指挥调度管理平台 set_extension_status.php SQL注入等88个漏洞可检测
创宇安全智脑 | 科立讯指挥调度管理平台 set_extension_status.php SQL注入等88个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-02-20 09:20 创宇安全智脑是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃
继续阅读【漏洞预警】CVE-2025-21355:Microsoft Bing 漏洞暴露远程代码执行风险
【漏洞预警】CVE-2025-21355:Microsoft Bing 漏洞暴露远程代码执行风险 Ots安全 2025-02-20 06:32 发布日期:2025-02-19 来源:Microsoft 安全响应中心 (MSRC) 更多详细信息: MSRC 漏洞指南 Microsoft Bing 中新发现的一个漏洞,编号为 CVE-2025-21355,引起了人们对远程代码执行 (RCE) 风险的极
继续阅读.NET 通过代码审计发现某 OA 系统全局性权限访问绕过漏洞
.NET 通过代码审计发现某 OA 系统全局性权限访问绕过漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-20 00:28 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项全局绕过漏洞的发现引起了广泛关注。该漏洞源自 两个组件的协同作用,攻击者只需构造一个特定的URL请求,便能实现对任意接口的未授权访问。 01. OA系统漏洞背景 某和OA协同办
继续阅读荐读丨即将过气的五大网络安全技术
荐读丨即将过气的五大网络安全技术 工业安全产业联盟平台 2025-02-19 10:32 随着人工智能等新兴技术的快速发展,网络安全市场正迎来一次重大技术变革并重新回到高速发展的轨道上。根据Gartner的预测,2025年全球网络安全支出将增长15%,达到2120亿美元。但是,一些传统网络安全技术和实践正逐渐退出历史舞台。以下是网络安全专家们认为需要被重新审视或淘汰的五大技术: 1 基于密码的安全
继续阅读APT-C-28(ScarCruft)组织利用无文件方式投递RokRat的攻击活动分析
APT-C-28(ScarCruft)组织利用无文件方式投递RokRat的攻击活动分析 原创 高级威胁研究院 360威胁情报中心 2025-02-19 10:10 APT-C-28 ScreCruft APT-C-28(ScarCruft)组织,也被称为APT37(Reaper)和Group123,是一个源自东北亚地区的APT组织。该组织的相关攻击活动最早可追溯到2012年,并且一直保持到现在仍然
继续阅读永洪BI远程代码执行漏洞
永洪BI远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2025-02-19 00:59 漏洞概况 永洪BI是一款由北京永洪商智科技有限公司开发的企业级商业智能软件。旨在帮助企业通过数据分析和可视化,提升决策效率和数据驱动的业务洞察能力。永洪BI提供了从数据准备、数据分析到数据可视化的一站式解决方案,适用于多种行业和应用场景。 微步情报局通过X漏洞奖励计划获取到永洪BI远程代码执行漏洞情
继续阅读黑客批量售卖多国VPN权限:漏洞利用+社会工程威胁多国关键行业
黑客批量售卖多国VPN权限:漏洞利用+社会工程威胁多国关键行业 原创 网空闲话 网空闲话plus 2025-02-18 22:46 2月19日监测发现,暗网论坛上出现大量VPN访问权限售卖帖子,发帖者“miyak0”在短时间内发布了24条涉及多个国家和地区的VPN权限出售信息,涵盖西班牙、沙特、阿联酋、中国及香港等地的政府机构、国防承包商、金融服务、能源、物流、电信等多个关键行业。这些权限的价格从
继续阅读