安全设计警报:消除缓冲区溢出漏洞
安全设计警报:消除缓冲区溢出漏洞 祺印说信安 2025-02-18 16:01 恶意网络攻击者利用缓冲区溢出漏洞破坏软件 注意:此安全设计警报是正在进行的系列警报的一部分,旨在推进全行业的最佳实践,以消除产品生命周期设计和开发阶段的所有漏洞类别。安全设计计划旨在促进整个技术行业的文化转变,规范开发开箱即用的安全产品。访问cisa.gov了解有关安全设计原则的更多信息,签署安全设计承诺,并随时了解最
继续阅读标签: 行业
VeraCore 两个0day漏洞被用于实施供应链攻击
VeraCore 两个0day漏洞被用于实施供应链攻击 Rob Wright 代码卫士 2025-02-18 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员在仓库管理软件平台 VeraCore 中发现了两个遭活跃利用的0day漏洞。Intezer 和 Solis Security 公司的安全研究员发现网络犯罪团伙 XE Group 利用这两个漏洞,早在2020年就攻陷制
继续阅读网络安全动态 – 2025.02.18
网络安全动态 – 2025.02.18 Sugar Delta Insights 2025-02-18 09:30 网络安全动态 — Cyber Daily 2025.02.18 警惕:仿冒 DeepSeek 官方 App 的手机木马病毒被捕获 关键词:仿冒App AI 木马病毒 2025年02月17日报道。国家计算机病毒应急处理中心捕获了一种仿冒国产人工智能大模型“Dee
继续阅读不要只卷Web安全,硬件安全值得推荐
不要只卷Web安全,硬件安全值得推荐 WIN哥学安全 2025-02-18 06:53 关注我们丨文末赠书 近年来,国家出台了一系列政策、安全标准和规范来支持网络安全产业发展,强调加强网络安全体系保障与能力建设, 要求企业加强硬件设备的安全防护措施,确保设备的安全性和可靠性。同时,数字化转型持续加速,国产化信息技术创新软硬件产品逐渐普及,各行业企业不断扩大硬件安全领域投入。2024年中国网络安全硬
继续阅读用友NC checkekey SQL 注入漏洞(XVE-2024-37013)
用友NC checkekey SQL 注入漏洞(XVE-2024-37013) Superhero nday POC 2025-02-18 03:15 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读上周关注度较高的产品安全漏洞(20250210-20250216)
上周关注度较高的产品安全漏洞(20250210-20250216) 原创 CNVD CNVD漏洞平台 2025-02-17 10:16 一、境外厂商产品漏洞 1、Hitachi Energy RTU500 series CMU Firmware跨站脚本漏洞**** RTU500是日本日立制作所(Hitachi)公司的一系列工控组件,主要用于工业控制系统。Hitachi Energy RTU500
继续阅读今日更新第2章!系统0day安全-Windows平台漏洞挖掘(第5期)
今日更新第2章!系统0day安全-Windows平台漏洞挖掘(第5期) 小雪 看雪学苑 2025-02-17 10:02 今日更新: 2.1 内核基础原理讲解 https://www.kanxue.com/book-194-5202.htm 2.2 驱动环境搭建,实战开发驱动 https://www.kanxue.com/book-194-5203.htm 2.3 熟悉windows内核模块 ht
继续阅读腾讯偷偷接入了DeepSeek,也偷偷公布了大模型框架的漏洞和CVE
腾讯偷偷接入了DeepSeek,也偷偷公布了大模型框架的漏洞和CVE 原创 吉祥 吉祥讲安全 2025-02-17 09:33 今天中午腾讯应急响应中心发布了AI相关的安全漏洞,并且提供了扫描工具。 并且还贴心的给大家说了如何去搜索这样的洞。 除此之外还把扫描工具给到了大家: 开源地址:https://github.com/Tencent/AI-Infra-Guard/下载地址(根据系统下载自己系
继续阅读24%的网络漏洞在被修补前已被利用
24%的网络漏洞在被修补前已被利用 数世咨询 2025-02-17 08:13 根据VulnCheck的分析报告,2024年期间,被利用的安全漏洞(CVE)数量增加了五分之一。这一增长部分归因于透明度增加以及监控能力的提升。然而,应对这些安全威胁仍需采取积极的预防措施。 去年发现的大约四分之一(24%)的已知可被利用的安全漏洞,在对应的CVE公开披露之时或者之前就已经遭到了利用。 根据安全公司Vu
继续阅读[小记] 共享其他人使用Ollama部署的AI模型
[小记] 共享其他人使用Ollama部署的AI模型 原创 心态与度量 随心记事 2025-02-17 07:29 以下是涉及到的一些工具或者软件介绍,分别是 Ollama、FOFA、 ChatWise。 关于 Ollama Ollama 是一个用于本地运行大型语言模型(LLM,Large Language Models)的软件,它允许用户在自己的计算机上使用开源的 LLM,而无需依赖云服务。这意味
继续阅读医疗行业数据安全风险评估实践指南(4.3)
医疗行业数据安全风险评估实践指南(4.3) 原创 草根老烦 老烦的草根安全观 2025-02-17 05:20 再次重申,本文未经授权不得以任何形式转载、发布或者形成商业活动,本文版权归作者樊山独有。 4.2.4 威胁识别 4.2.4.1 威胁概述 威胁,对评估对象构成潜在影响的实体。在 ISO/IEC 27001:2022 标准中,威胁被定义为“可能对信息安全造成损害的潜在事件或行为。 ” 在《
继续阅读漏洞预警 | 福建科立讯通信指挥调度管理平台SQL注入漏洞
漏洞预警 | 福建科立讯通信指挥调度管理平台SQL注入漏洞 浅安 浅安安全 2025-02-17 01:09 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 科立讯指挥调度管理平台是一个专业针对通信行业的管理平台。该产品旨在提供高效的指挥调度喝管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功
继续阅读网络安全中的“人性漏洞”:如何解决员工安全意识问题?
网络安全中的“人性漏洞”:如何解决员工安全意识问题? 安小圈 2025-02-17 00:46 安小圈 第605期 网络安全意识 一、网络安全中的 “人性漏洞”,你了解多少? (一)惊人数据揭示员工问题 在网络安全领域,有诸多报告都指出了一个不容忽视的现实,那就是员工安全意识不足所引发的问题占比极高。例如,Verizon 发布的《2022 年数据泄露调查报告》中就提到,在总共 5212 起泄露事件
继续阅读御话资讯|一周安全要闻(02.10-02.14)
御话资讯|一周安全要闻(02.10-02.14) 网御星云 2025-02-17 00:00 行业动态 【《公共安全视频图像信息系统管理条例》发布】 《公共安全视频图像信息系统管理条例》于2024年12月16日国务院第48次常务会议通过,现予公布,自2025年4月1日起施行。 来源:中国信息安全 【1项网络安全国家标准获批发布】 根据2025年1月24日国家市场监督管理总局、国家标准化管理委员会发
继续阅读美国CISA敦促开发人员消除缓冲区溢出漏洞
美国CISA敦促开发人员消除缓冲区溢出漏洞 安全学习那些事儿 2025-02-16 23:00 2025年2月14日, 美国网络安全和基础设施安全局CISA再次提醒IT制造商和开发人员,必须消除软件中的缓冲区溢出漏洞。简而言之,企业需要快速采用”安全设计”政策。 CISA针对缓冲区溢出漏洞发布了一项新的警报,敦促软件行业采用正确的编程方法来消除一整类危险的安全漏洞。CISA
继续阅读全球谍影扫描【20250217】007期
全球谍影扫描【20250217】007期 网空闲话 网空闲话plus 2025-02-16 22:51 “患生于所忽,祸起于细微”,没有意识到风险是最大的风险! 2025年2月10日—2月16日,全球谍影最新动态,值得关注…… 值得关注的谍影动态 01-10 1. 德国 / 俄罗斯 / 乌克兰:据报道,德国在关键空军基地发现无人机后怀疑俄罗斯 据《政治报》 2 月 9 日报道,“德国军方正在调
继续阅读DeepSeek代码审计技术解析:从模型革新到漏洞挖掘实战
DeepSeek代码审计技术解析:从模型革新到漏洞挖掘实战 原创 悟剑堂-千里 东方隐侠安全团队 2025-02-16 16:11 隐侠们的日常:关心武林 蛇 年新春前后,隐侠关注到DeepSeek名声大噪, 低成本AI模型的崛起 时代正式到来。 2025年初,中国AI企业深度求索(DeepSeek)凭借开源模型DeepSeek-V3 和DeepSeek-R1 引发全球关注。其模型以仅OpenAI
继续阅读2024年CVE漏洞数量激增38%:2024年CVE漏洞数据全景分析
2024年CVE漏洞数量激增38%:2024年CVE漏洞数据全景分析 原创 tonghuaroot RedTeam 2025-02-15 14:10 摘要 2024年CVE漏洞数量激增38%,开源项目与WordPress插件成重灾区,周二发布量最高,平均CVSS评分6.67,前五大CNA贡献近44%漏洞。 要点总结 CVE数量暴涨 :2024 年发布了 40009 个 CVE,比 2023 年(2
继续阅读2025 最佳漏洞赏金书籍和网站
2025 最佳漏洞赏金书籍和网站 原创 破天KK KK安全说 2025-02-15 05:14 为知识付费,如果您对漏洞赏金狩猎非常推崇,那么投资购买合适的书籍可以加快您的学习进度,提高您的技能,并帮助您获得高额赏金。这些书籍和网站不仅仅是指南;它们是由行业专家精心设计的路线图,充满了现实世界的黑客场景、分步方法和高级技术,可将您的网络安全游戏提升到一个新的水平。 一、书籍篇: 无论您是刚刚起步,
继续阅读WinZip高危漏洞曝光:远程攻击者可任意执行代码
WinZip高危漏洞曝光:远程攻击者可任意执行代码 船山信安 2025-02-14 17:02 近日,WinZip曝出一个编号为CVE-2025-1240的高危漏洞,远程攻击者可通过利用畸形的7Z压缩包文件,在受影响的系统上执行任意代码。该漏洞的CVSS评分为7.8,影响WinZip 28.0(版本号16022)及更早版本,用户需升级至WinZip 29.0以规避风险。 漏洞成因与利用条件 该漏洞
继续阅读【国际视野】美国网络安全和基础设施安全局和联邦调查局联合发布《设计安全警报:消除缓冲区溢出漏洞》
【国际视野】美国网络安全和基础设施安全局和联邦调查局联合发布《设计安全警报:消除缓冲区溢出漏洞》 原创 天极智库 天极智库 2025-02-14 10:00 “ 天极按 近日, 网络安全和基础设施安全局(CISA)发布了《联合网络防御协作组织人工智能网络安全协作手册》(Joint Cyber Defense Collaborative (JCDC) Artificial Intelligence
继续阅读长亭X魅族:All in AI与多云安全擦出火花
长亭X魅族:All in AI与多云安全擦出火花 长亭安全观察 2025-02-14 08:57 “ 一家科技企业的生命力,一定源于他对技术的敬畏与追逐。 ” 2003年,魅族科技诞生于珠海市的一栋小楼,在这里,推出了当时风靡全国的时尚单品—魅族MX—MP3音乐播放器。 2022年,魅族科技与吉利汽车旗下星纪时代达成战略投资合作,正式成为吉利集团的重要伙伴。 2024年,崭
继续阅读浪漫来袭,单个漏洞达3w+,为你的恋爱基金添砖加瓦!
浪漫来袭,单个漏洞达3w+,为你的恋爱基金添砖加瓦! 原创 邀您参与专测的 京东安全应急响应中心 2025-02-14 02:31 账号专项众测活动 LOVE 3倍奖励为你的恋爱基金添砖加瓦 LOVE 02/14 02/28 哪吒重生,脚踏风火轮, 手拿乾坤圈,逆天改命! JSRC奉上高额漏洞奖励, 成为你爱情路上的“神兵利器”, 助你火力全开,追爱无忧!💘🔥 账号众测 专项活动 活动时间 202
继续阅读【网安洞察】漏洞利用分析:大众汽车近百万用户位置信息泄露事件
【网安洞察】漏洞利用分析:大众汽车近百万用户位置信息泄露事件 粤网安宣 广东省网络安全应急响应中心 2025-02-14 02:15 摘要 2024年12月27日,德国《明镜》周刊报道软件公司Cariad出现安全漏洞,致使约80万辆大众集团在欧洲销售的电动汽车位置信息在互联网上暴露数月。 欧洲“混乱计算机俱乐部”(CCC)向Cariad通报该漏洞后,其进行了紧急修复。测试发现可精准追踪德国政治人物
继续阅读AI 抢安全工程师饭碗?这款工具让 POC 自动生成,支持DeepSeek等多模型!
AI 抢安全工程师饭碗?这款工具让 POC 自动生成,支持DeepSeek等多模型! 原创 泰阿安全实验室 泰阿安全实验室 2025-02-13 13:33 前言 最近,AI 领域可谓是风起云涌,DeepSeek、GPT-4o 等新技术的问世,一次次刷新着我们对人工智能的认知。有人惊叹于 AI 的强大,也有人担忧 AI 的潜在威胁。“AI 威胁论”甚嚣尘上,各行各业都在思考如何应对 AI 带来的挑
继续阅读字节跳动因代码侵权被判赔8266.8万元;私募股权巨头竞相“抢购”,趋势科技或将私有化 | 牛览
字节跳动因代码侵权被判赔8266.8万元;私募股权巨头竞相“抢购”,趋势科技或将私有化 | 牛览 安全牛 2025-02-13 09:57 点击蓝字·关注我们 / aqniu 新闻速览 •字节跳动因代码侵权被判赔8266.8万元 •私募股权巨头竞相“抢购”,趋势科技或将私有化 •Anthropic CEO警告:当前治理结构可能无法有效管控下一代 AI 系统 •Sandworm APT组织分支利
继续阅读创宇安全智脑 | 网心云设备管理平台未授权访问等130个漏洞可检测
创宇安全智脑 | 网心云设备管理平台未授权访问等130个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-02-13 09:36 创宇安全智脑是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态势、攻防
继续阅读Zer0 Sec团队2025新年首次开班 | 一起解锁技术新高度
Zer0 Sec团队2025新年首次开班 | 一起解锁技术新高度 原创 Syst1m Zer0 sec 2025-02-13 08:50 介绍 【暴躁老哥开课 】第三期红蓝互怼&挖洞速成班!零基础也能白嫖当脚本小子!(战术后仰) ✔️ 课程卖点 : 👉 手把手教你怎么在甲方爸爸的系统里”合法搞事”(懂的都懂) 👉 新增白嫖级src入门教程!不会挖洞?包教包会 学
继续阅读【漏洞通告】Ivanti CSA管理控制台命令注入漏洞(CVE-2024-47908)
【漏洞通告】Ivanti CSA管理控制台命令注入漏洞(CVE-2024-47908) 启明星辰安全简讯 2025-02-13 07:44 一、漏洞概述 漏洞名称 Ivanti CSA管理控制台命令注入漏洞 CVE ID CVE-2024-47908 漏洞类型 命令注入 发现时间 2025-02-13 漏洞评分 9.1 漏洞等级 严重 攻击向量 网络 所需权限 高 利用难度 低 用户交互 无
继续阅读Ollama 远程代码执行漏洞 CVE-2024-37032
Ollama 远程代码执行漏洞 CVE-2024-37032 原创 枇杷哥 黑伞安全 2025-02-13 05:35 近日,安全研究人员在Ollama中发现了一个严重的远程代码执行(RCE)漏洞,编号为CVE-2024-37032。这个漏洞被命名为“Probllama”,因为它与Ollama的某些核心功能密切相关。本文将带你深入了解这个漏洞的来龙去脉,以及如何防范类似的安全威胁。 漏洞背景 Ol
继续阅读