2024年度上海网络与信息安全测评工程技术研究中心开放课题申请指南
2024年度上海网络与信息安全测评工程技术研究中心开放课题申请指南 小编 安全学术圈 2025-01-12 00:42 上海网络与信息安全测评工程技术研究中心(以下简称“工程中心”)于2015年依托公安部第三研究所筹建,并于2017年底顺利通过筹建期的项目验收,是依托单位内部的二级机构。本工程中心组建目标是立足上海、辐射全国,围绕安全测评技术研发和验证,基于已有的传统网络信息安全测评基础和测评体系
继续阅读标签: 行业
【安全产品】堡垒机-安全问题分析-漏洞复现
【安全产品】堡垒机-安全问题分析-漏洞复现 原创 仇辉 仇辉攻防 2025-01-11 12:39 前言 安全悖论——“守护者的隐忧” 在网络安全的世界里,安全产品本应是抵御攻击的第一道防线,为企业和用户提供可靠的保护。然而,近年来的诸多安全事件表明,安全产品本身并非天衣无缝,它们可能成为攻击者的突破口。攻击者通过利用安全产品的漏洞、设计缺陷或配置不当,不仅能够绕过防护措施,还可能利用这些产品作为
继续阅读疑黑客出售国内某IT企业服务器访问权限,456GB数据遭泄露
疑黑客出售国内某IT企业服务器访问权限,456GB数据遭泄露 原创 网空闲话 网空闲话plus 2025-01-11 10:35 据BreachForums网站2025年1月10日消息,威胁行为者Skillz涉嫌向一家年收入达48亿美元的中国IT企业出售服务器访问权限。此次攻击通过利用易受攻击的系统,获取了目标公司的shell访问权限,并暴露了服务器上存储的456GB数据。目标公司业务涵盖网络安全
继续阅读发现Web API漏洞居然能赚到400w刀
发现Web API漏洞居然能赚到400w刀 Z2O安全攻防 2025-01-10 04:09 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发放了超过3亿美元的奖励
继续阅读2025最新挖漏洞给报酬的网站汇总,零基础入门到精通,收藏这篇就够了
2025最新挖漏洞给报酬的网站汇总,零基础入门到精通,收藏这篇就够了 白帽黑客k哥 2025-01-10 01:48 一、众测平台(国内) 名称 网址 漏洞盒子 https://www.vulbox.com/ 火线安全平台 https://www.huoxian.cn/ 漏洞银行 https://www.bugbank.cn/ 360漏洞众包响应平台 https://src.360.net/ 补天
继续阅读Gayfemboy 僵尸网络瞄准 Four-Faith 路由器漏洞
Gayfemboy 僵尸网络瞄准 Four-Faith 路由器漏洞 鹏鹏同学 黑猫安全 2025-01-09 23:02 Gayfemboy 僵尸网络最早在2024年2月被发现,它借鉴了基本的Mirai变种代码,并且现在集成了N-day和0-day漏洞利用。到2024年11月,Gayfemboy利用了Four-Faith工业路由器和Neterbit路由器以及Vimar智能家居设备中的0-day漏洞
继续阅读【风险通告】Ivanti多产品存在缓冲区溢出漏洞(CVE-2025-0282)
【风险通告】Ivanti多产品存在缓冲区溢出漏洞(CVE-2025-0282) 安恒研究院 安恒信息CERT 2025-01-09 11:00 漏洞概述 漏洞名称 Ivanti多产品存在缓冲区溢出漏洞(CVE-2025-0282) 安恒CERT评级 1级 CVSS3.1评分 9.0 CVE编号 CVE-2024-0282 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-20
继续阅读创宇安全智脑 | 四信通信工业路由器 apply.cgi 远程命令执行(CVE-2024-12856)等90个漏洞可检测
创宇安全智脑 | 四信通信工业路由器 apply.cgi 远程命令执行(CVE-2024-12856)等90个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-01-09 09:53 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃
继续阅读年度包揽!长亭科技荣获2024年度(第二期)CNNVD漏洞奖励评选一级贡献奖
年度包揽!长亭科技荣获2024年度(第二期)CNNVD漏洞奖励评选一级贡献奖 长亭安全观察 2025-01-09 09:11 近日,国家信息安全漏洞库(CNNVD)公布了2024年度(第二期)漏洞奖励评选结果,长亭科技凭借其在漏洞预警方面的卓越表现,再次荣获一级贡献奖! 这是自CNNVD开展漏洞奖励评选以来,长亭科技第三次获得CNNVD的漏洞奖励,2024年的两次评选更是全部入选,充分彰显了长亭科
继续阅读【漏洞通告】Aviatrix Controller命令注入漏洞
【漏洞通告】Aviatrix Controller命令注入漏洞 安迈信科应急响应中心 2025-01-09 03:49 01 漏洞概况 Aviatrix Controller 7.x 至 7.2.4820 中发现了一个问题。由于操作系统命令中使用的特殊元素中和不当,未经认证的攻击者能够远程执行任意代码。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Aviatrix Controller
继续阅读【漏洞通告】Inspur ClusterEngine 安全漏洞
【漏洞通告】Inspur ClusterEngine 安全漏洞 安迈信科应急响应中心 2025-01-09 03:49 01 漏洞概况 Inspur ClusterEngine是中国浪潮(Inspur)公司的一个应用软件。提供管理集群系统中软硬件提交的作业。 Inspur ClusterEngine v4.0版本存在安全漏洞,该漏洞源于允许攻击者获得升级的本地权限并通过/opt
继续阅读【漏洞通告】大华智能物联综合管理平台(ICC) GetClassValue 远程命令执行漏洞
【漏洞通告】大华智能物联综合管理平台(ICC) GetClassValue 远程命令执行漏洞 安迈信科应急响应中心 2025-01-09 03:49 01 漏洞概况 GetClassValue接口存在远程命令执行漏洞,未授权攻击者可以利用该漏洞执行任意命令,导致服务器失陷。注意,该漏洞POC已公开且存在在野利用02 漏洞处置综合处置优先级:高漏洞信息漏洞名称大华智能物联综合管理平台(IC
继续阅读黑客利用漏洞入侵美国财政部后,仍有近9000个BeyondTrust系统暴露于互联网
黑客利用漏洞入侵美国财政部后,仍有近9000个BeyondTrust系统暴露于互联网 汇能云安全 2025-01-09 01:30 1月9日,星期四,您好!中科汇能与您分享信息安全快讯: 01 黑客利用漏洞入侵美国财政部后,仍有近9000个BeyondTrust系统暴露于互联网 研究人员近日发现,在关键漏洞被披露CVE-2024-12356数周后,仍有近9000个BeyondTrust系统暴露在互
继续阅读干货!从零到一: 构建一个可靠的SCA漏洞库
干货!从零到一: 构建一个可靠的SCA漏洞库 原创 todobest SDL安全 2025-01-09 00:42 一、背景 “ 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。其中,航空航天、航空、汽车、运输、物流,教育科技和物联网 (IoT
继续阅读外媒|成都:茶馆、火锅、大学和……黑客
外媒|成都:茶馆、火锅、大学和……黑客 原创 NATTO TEAM 安全喵喵站 2025-01-09 00:30 本文不代表喵站观点 近 20 年来,各种网络威胁情报(CTI)分析报告都指出,四川省是 “众所周知的黑客攻击热点”,四川省省会成都 “已成为中国高级持续性威胁(APT)活动的中心”。从 2023 年底到 2024
继续阅读Mirai 僵尸网络变体利用四信路由器漏洞进行 DDoS 攻击
Mirai 僵尸网络变体利用四信路由器漏洞进行 DDoS 攻击 信息安全大事件 2025-01-08 12:11 自 2024 年 11 月初以来,已发现一个 Mirai 僵尸网络变体利用新披露的安全漏洞影响四信工业路由器,目的是进行分布式拒绝服务 (DDoS) 攻击。 该僵尸网络每天维护大约 15,000 个活跃 IP 地址,感染主要分布在中国、伊朗、俄罗斯、土耳其和美国。 该恶意软件利用 20
继续阅读【国际视野】卡巴斯基:EAGERBEE后门变种瞄准中东
【国际视野】卡巴斯基:EAGERBEE后门变种瞄准中东 原创 天极智库 天极智库 2025-01-08 10:00 “ 天极按 近日,卡巴斯基发布对EAGERBEE后门调查的相关分析,详细分析了EAGERBEE 后门的功能,重点关注服务注入器、插件编排器模块和相关插件。同时还探讨了EAGERBEE 后门与CoughingDown 威胁组织的潜在联系。 在最近对 EAGERBEE后门的调查中,发现中
继续阅读0day漏洞无处遁形:大模型安全挖洞实践
0day漏洞无处遁形:大模型安全挖洞实践 腾讯技术工程 2025-01-08 01:15 作者:腾讯啄木鸟团队 1. 序章之《白帽寓言》 我本是一名普通的小白帽,有一天上班路上,遇到了位神秘老者,他拦住我,问道:小伙子,你是做什么的? 我大声回答:我是挖洞的! 老者摸着胡须,目光炯炯望着我:刚刚我看路边有人弄丢了几把铲子,想必是你弄丢的,那让我来考考你,你丢的是这把金铲子,还是这把银铲子呢? 我说
继续阅读新的 Mirai 僵尸网络利用0day漏洞攻击工业路由器
新的 Mirai 僵尸网络利用0day漏洞攻击工业路由器 会杀毒的单反狗 军哥网络安全读报 2025-01-08 01:00 导读 一个相对较新的基于 Mirai 的僵尸网络日益复杂,现在正在利用 0day 漏洞攻击工业路由器和智能家居设备的安全漏洞。 据监测僵尸网络发展和攻击情况的奇安信 X Lab 研究人员称,对以前未知的漏洞的利用始于 2024 年 11 月。 其中一个安全问题是 CVE-2
继续阅读「漏洞复现」深科特 LEAN MES系统 SMTLoadingMaterial.ashx SQL注入漏洞
「漏洞复现」深科特 LEAN MES系统 SMTLoadingMaterial.ashx SQL注入漏洞 冷漠安全 冷漠安全 2025-01-07 13:32 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读某公众号作者擅自发布安全漏洞被处罚
某公众号作者擅自发布安全漏洞被处罚 原创 承影 兰花豆说网络安全 2025-01-07 12:54 关注兰花豆,探讨网络安全 今天,各大安全圈交流群疯狂转发某公众号作者擅自发布安全漏洞,被攻击者利用攻击某企业的消息。随着网安行业下行,大量网安从业者开始步入自媒体行业,有部分从业者为了博取眼球,增加流量,通过发布一些安全漏洞及poc来寻求更多人阅读和关注,显然作为网络安全从业者,没有仔细研究相关的法
继续阅读Gayfemboy:一个利用四信工业路由0DAY传播的僵尸网络
Gayfemboy:一个利用四信工业路由0DAY传播的僵尸网络 原创 奇安信X实验室 奇安信XLab 2025-01-07 08:48 概述 无数脚本小子怀揣着发财梦,拿着 Mirai 的源码兴高采烈地杀入 DDoS 黑产行业,幻想着靠僵尸网络大赚一笔。现实是残酷的,这些人来时满怀雄心,去时却灰头土脸,只给安全社区留下一个又一个只能活跃 3–4 天的 Mirai 变种。然而,今天的主角Gayfem
继续阅读Moxa 设备严重漏洞将工业网络暴露在攻击中
Moxa 设备严重漏洞将工业网络暴露在攻击中 Bill Toulas 代码卫士 2025-01-07 04:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 工业网络和通信提供商 Moxa 提醒称,多个蜂窝路由器、安全路由器和网络安全设备的多个机型受一个高危漏洞和一个严重漏洞影响。这两个漏洞可导致远程攻击者在易受攻击设备上获得根权限并执行任意命令,从而导致任意代码执行后果。 Moxa 路
继续阅读暗网情报5则:涉国外赌场、金融企业、国内化工上市企业、VPN漏洞等
暗网情报5则:涉国外赌场、金融企业、国内化工上市企业、VPN漏洞等 原创 网空闲话 网空闲话plus 2025-01-06 23:16 1月7日监测暗网发现,威胁行为者活动持续猖獗,发现多起风险较高的情报信息。首先,菲律宾博彩公司Betrnk Inc的完整源代码和游戏基础设施被窃取并在暗网出售,可能导致重大财务损失和运营中断。其次,哥伦比亚金融服务公司AXA COLPATRIA的数据库泄露,约1万
继续阅读每周网安资讯 (12.31-1.6)|HP多款产品存在漏洞
每周网安资讯 (12.31-1.6)|HP多款产品存在漏洞 交大捷普 2025-01-06 10:14 2024[ 每周网安资讯 ]12.31-1.6 网安资讯 1、国家发展改革委、国家数据局、教育部、财政部、金融监管总局、中国证监会印发《关于促进数据产业高质量发展的指导意见》 《意见》以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大和二十届二中、三中全会精神,完整准确全面贯彻新发
继续阅读优秀案例|谋乐科技入围“2024年度数据安全优秀案例评选”政务场景
优秀案例|谋乐科技入围“2024年度数据安全优秀案例评选”政务场景 原创 谋乐科技BUGBANK 行长叠报 2025-01-06 10:00 2024年12月30日,上海市互联网业联合会、上海金融信息行业协会、上海市工商联数字经济商会、上海市信息安全行业协会联合主办的“2024年度数据安全优秀案例评选”入选名单发布,上海谋乐网络科技有限公司(BUGBANK)选送案例“公共数据安全数字运营赋能平台构
继续阅读雷神众测漏洞周报2024.12.30-2025.1.5
雷神众测漏洞周报2024.12.30-2025.1.5 原创 雷神众测 雷神众测 2025-01-06 07:02 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读山石说AI|精准探测 智慧守护:大模型重塑漏洞检测新标杆
山石说AI|精准探测 智慧守护:大模型重塑漏洞检测新标杆 原创 山石网科 山石网科新视界 2025-01-06 06:01 【山石说AI】•第16篇 大模型在网络安全中的最新应用进展(五) 漏洞检测是网络安全的“侦查兵”,而大模型则为这一领域增添了革命性的技术活力。从深度语义理解到精准漏洞定位,大模型正在重新书写检测规则,为安全从业者提供更强大的技术武器,让防线更智慧、更高效。 本节概述了利用大模
继续阅读漏洞盒子批量提交脚本5.1.26
漏洞盒子批量提交脚本5.1.26 信安404 2025-01-06 04:00 前言 基于 掌控安全-劲夫 漏洞盒子自动提交脚本3.0 修改 注:同一CMS的同一漏洞数量超过5个时建议使用该脚本,少于该数量手动应当更快。 文件简介 submitted.txt : 用于记录提交失败的网站,并且会记录提交失败的原因,不用管。 bugs.xlsx : 填写每个站点的信息(漏洞标题(网页title)、厂商
继续阅读爱丁堡大学&剑桥大学|漏洞赏金生态系统中的团队与合作
爱丁堡大学&剑桥大学|漏洞赏金生态系统中的团队与合作 原创 CDra90n 安全学术圈 2025-01-06 03:37 原文标题:Study Club, Labor Union or Start-Up? Characterizing Teams and Collaboration in the Bug Bounty Ecosystem 原文作者:Yangheran Piao, Temim
继续阅读