蓝凌OA thirdimsyncforkkwebservice 任意文件读取漏洞复现
蓝凌OA thirdimsyncforkkwebservice 任意文件读取漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-12-18 10:12 FOFA app="Landray-OA系统" 漏洞复现 nuclei运行结果 POC与nuclei-poc已上传到知识星球 高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0
继续阅读标签: 行业
知名企业深陷漏洞“迷局”,网络安全专家组队“破局”!
知名企业深陷漏洞“迷局”,网络安全专家组队“破局”! 天融信教育 2024-12-18 09:35 近期,天融信接到一家知名企业求助 在一次常规安全检查中 客户发现系统中存在多个未授权访问漏洞 Spring Boot Actuator、Redis、Swagger API 等敏感信息暴露无遗 为黑客敞开一扇扇“方便之门” 越权访问、弱口令攻击等安全事件层出不穷 如同一颗颗“隐形地雷” 企业信息安全体
继续阅读研究发现:CVSS 漏洞评分系统存在严重缺陷
研究发现:CVSS 漏洞评分系统存在严重缺陷 数世咨询 2024-12-18 08:00 摩根大通(JPMorganChase)的网络安全专家认为,网络安全行业可能因对CVSS评分过于依赖而误解了漏洞的严重程度,从而影响了修复工作的进展。 在本周四的黑帽欧洲大会上,代表们接到了一个通知:当前用于评估软件与硬件漏洞严重程度的全行业标准方法需要进行调整,因为这种方法可能会带来潜在误导性的评估结果。 通
继续阅读安全通告丨网络安全漏洞通告(2024年12月)
安全通告丨网络安全漏洞通告(2024年12月) 创信华通 2024-12-18 07:25 作为国内权威的安全漏洞通告组织,创信华通基于自身的威胁情报和漏洞挖掘能力,对全球最新的安全漏洞及安全事件进行跟踪研究,在第一时间向用户提供高危漏洞、威胁攻击的解决办法及情报资讯,以帮助用户提升网络安全的预警和响应能力。 一、 漏洞态势 / 2024.12 高危漏洞预警 在第一时间内向用户发布高危漏洞预警,通
继续阅读苹果HomeKit出现安全漏洞被间谍机构利用 目前具体漏洞细节尚未公布
苹果HomeKit出现安全漏洞被间谍机构利用 目前具体漏洞细节尚未公布 湖南省网络空间安全协会 2024-12-18 01:45 近期臭名昭著的以色列商业间谍软件开发商 NSO 集团的飞马座( Pegasus)间谍软件被发现攻击了两名塞尔维亚的 iPhone 用户。调查结果表明,NSO 利用了一种新开采的漏洞,可能涉及到苹果的智能家居服务 HomeKit 套件。 值得注意的是,这次攻击是由苹果公司
继续阅读安全大数据平台的上游、下游系统有什么
安全大数据平台的上游、下游系统有什么 原创 Hash先生 全栈网络空间安全 2024-12-18 01:29 安全大数据平台的上游系统主要包括以下几类: 数据产生与采集系统 : 网络设备 :如防火墙、入侵检测系统/入侵防御系统(IDS/IPS)、路由器、交换机等,会产生大量的网络连接日志、访问控制列表(ACL)日志、流量数据等,记录着网络中的通信行为和潜在威胁,为安全大数据平台提供了网络层面的安全
继续阅读品牌焕新升级!“WaBug漏洞响应平台”正式起航,开启崭新篇章
品牌焕新升级!“WaBug漏洞响应平台”正式起航,开启崭新篇章 实战安全攻防专家 云众可信 2024-12-18 00:30 在全球数字化转型浪潮的推动下,网络安全已成为企业生存与发展的关键防线。早在2016年,IBG云众可信敏锐洞察到云化服务的迫切需求,率先推出了云众可信众测平台,助力客户高效搭建企业专属应急响应中心,全面夯实网络安全基石。 为了更好地满足客户多元化需求,紧跟行业发展步伐,云众可
继续阅读【大量存在】飞鱼星-路由器存在敏感信息泄露漏洞
【大量存在】飞鱼星-路由器存在敏感信息泄露漏洞 xiachuchunmo 银遁安全团队 2024-12-17 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **成都飞鱼星科技股份有限公司成立于2002年,公司现有全场景(行业)无线网络解决方案、公安审计解决方案、星云平台、企业级无线路由器、企业上网行为管理路由、智能家居解决方案、全屋W
继续阅读万能门店小程序管理系统 onepic_uploade 任意文件上传漏洞
万能门店小程序管理系统 onepic_uploade 任意文件上传漏洞 Superhero nday POC 2024-12-17 16:30 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读安卓间谍软件 NoviSpy 利用高通6个0day感染设备
安卓间谍软件 NoviSpy 利用高通6个0day感染设备 Bill Toulas 代码卫士 2024-12-17 10:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 塞尔维亚政府利用高通的多个0day漏洞,解锁并通过新型间谍软件 “NoviSpy” 感染安卓设备,监控活动家、记者和抗议人员。 与这些攻击相关联的其中一个高通漏洞是CVE-2024-43047。谷歌 Project Z
继续阅读探秘移动端漏洞世界 | 零基础入门Android漏洞挖掘-入门篇
探秘移动端漏洞世界 | 零基础入门Android漏洞挖掘-入门篇 看雪课程 看雪学苑 2024-12-17 09:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。
继续阅读学员分享 | CISP-PTS—渗透测试进阶的不二之选
学员分享 | CISP-PTS—渗透测试进阶的不二之选 学员心得分享 安全牛课堂 2024-12-17 02:48 身为一名在渗透测试领域摸爬滚打过几年的从业者,深知在这个技术飞速更迭、攻防对抗日益激烈的行业里,持续提升自己的专业技能是多么关键。今天,我把自己亲身经历且受益匪浅的 CISP-PTS 培训推荐给各位同行以及有志于投身渗透测试领域的朋友们。 起初,在日常的渗透测试工作中,我虽积累了一定
继续阅读CVSS漏洞评分系统曝出严重缺陷
CVSS漏洞评分系统曝出严重缺陷 GoUpSec 2024-12-17 02:19 随着漏洞披露量的持续增长和攻击复杂性的提升,准确的风险评估对于企业防御和漏洞修复至关重要。在近日举行的Black Hat欧洲大会上,金融巨头摩根大通的网络安全专家发出警告:当前广泛使用的漏洞严重性评估系统——通用漏洞评分系统(CVSS)存在重大缺陷,可能导致安全团队对漏洞风险误判,从而延长漏洞的暴露时间,增加组织面
继续阅读组织人员“刷单炒信”?严厉打击!|苹果 HomeKit 漏洞曝光,间谍软件入侵的新途径
组织人员“刷单炒信”?严厉打击!|苹果 HomeKit 漏洞曝光,间谍软件入侵的新途径 黑白之道 2024-12-17 02:08 组织人员“刷单炒信”?严厉打击! 我看某个电商商铺好评如潮 评分高、评论区有图有真相 就在他那买了两件衣服 可是等我收到货 好像也就那么回事 质量、款式都不咋地 买家秀、卖家秀差别咋这么大呢? 哎,网警蜀黍可以悄悄告诉你 可能这家店铺有人专门组织水军刷单炒信 你看到的
继续阅读解锁+监控!最新安卓间谍软件NoviSpy植入疑利用了高通零日漏洞
解锁+监控!最新安卓间谍软件NoviSpy植入疑利用了高通零日漏洞 网空闲话 网空闲话plus 2024-12-16 22:56 BleepingComputer12月16日的跟踪报道表明,塞 尔维亚政府被指利用高通芯片的多个零日漏洞,通过名为NoviSpy的间谍软件监视活动人士、记者和抗议者。关键漏洞之一是CVE-2024-43047,该漏洞于2024年10月被Google Project Ze
继续阅读【未公开】泛微e-cology 9 x.FileDownloadLocation接口存在SQL注入漏洞导致Getshell
【未公开】泛微e-cology 9 x.FileDownloadLocation接口存在SQL注入漏洞导致Getshell 原创 xiachuchunmo 银遁安全团队 2024-12-16 18:34 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **泛微E-COLOGY是一款由中国泛微软件系统股份有限公司开发的企业协同管理软件,为中大型组织创
继续阅读未来五年网络安全最具潜力的十大方向
未来五年网络安全最具潜力的十大方向 原创 承影 兰花豆说网络安全 2024-12-16 16:01 关注兰花豆,探讨网络安全 网络安全问题是一个不断变化的命题,受技术迭代、业务场景变化、客户需求及政策等多种因素的影响。无论从攻防对抗的角度,还是从保障业务的角度来看,网络安全都在动态演进中寻找平衡与突破。在未来五年,以下十大方向可能成为网络安全领域最具潜力的重点。 AI安全 人工智能(AI)正推动第
继续阅读新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击
新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击 Rhinoer 犀牛安全 2024-12-16 16:00 黑客正在积极利用 Cleo 管理文件传输软件中的零日漏洞来入侵公司网络并进行数据盗窃攻击。 该漏洞存在于该公司的安全文件传输产品 Cleo LexiCom、VLTrader 和 Harmony 中,该漏洞允许不受限制的文件上传和下载,从而导致远程代码执行。 Cleo MFT 漏洞影响
继续阅读【已复现】Apache Struts存在文件上传漏洞(CVE-2024-53677)
【已复现】Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒研究院 安恒信息CERT 2024-12-16 09:27 漏洞概述 漏洞名称 Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒CERT评级 2级 CVSS3.1评分 8.1 CVE编号 CVE-2024-53677 CNVD编号 未分配 CNNVD编号 CNNVD-20241
继续阅读昂捷CRM cwsfiledown.asmx 任意文件读取漏洞
昂捷CRM cwsfiledown.asmx 任意文件读取漏洞 Superhero nday POC 2024-12-16 02:11 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读如何有效防范勒索软件攻击?最新漏洞与防御策略
如何有效防范勒索软件攻击?最新漏洞与防御策略 原创 ITIL之家 信息安全动态 2024-12-15 22:22 点击进入信息安全资料库 一、勒索软件攻击现状解析 (一)近年攻击趋势概述 近年来,勒索软件攻击呈现出愈发严峻的态势,在数量、频次以及危害程度等方面都发生了显著变化。 从攻击数量和频次来看,呈爆发式增长趋势。据不完全统计,Ransomfeed勒索论坛数据显示,2021年至2024年,暗网
继续阅读【0day】《黄药师》药业管理软件UploadFile存在任意文件上传漏洞
【0day】《黄药师》药业管理软件UploadFile存在任意文件上传漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-15 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **黄药师药店管理是专为零售药店打造的管理软件,集综合进销存管理,会员管理,GSP管理等于一身,其直观的界面,简洁的操作,去繁存精,更易使用,助您
继续阅读网络钓鱼是数据泄露的无声前兆
网络钓鱼是数据泄露的无声前兆 原创 何威风 祺印说信安 2024-12-15 16:00 网络钓鱼不仅仅是一种滋扰,它是破坏性数据泄露的可怕前兆。 网络钓鱼是当今网络威胁领域中最普遍的策略、技术和程序 (TTP) 之一。它通常是数据泄露的门户,可能对组织和个人造成毁灭性后果。例如, 2021 年的 Colonial Pipeline 网络攻击始于与网络钓鱼相关的入侵,导致勒索软件攻击,扰乱了美国各
继续阅读大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 网络安全与人工智能研究中心 2024-12-15 01:21 网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞,这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。 专门从事汽车网络安全的公司PCAutomotive最近在Black Hat Europe上披露了影响斯柯达Superb III轿车最新型号的12个新的安
继续阅读每周网安态势概览【20241215】050期
每周网安态势概览【20241215】050期 网空闲话 网空闲话plus 2024-12-15 00:19 编者按 2024年12月9日至12月15日,网空闲话关注并分享的国际网络安全领域的热点事件,以及每日国际网络安全态势一览。 本周热点 :上市电力公司遭勒索、美国与菲律宾成功举行海上网络安全和化学品安全演习、Lynxa勒索软件团队浮出 ,等等 。 每日热点追踪 俄罗斯两黑客组织瞄准了美、加、澳
继续阅读看见创新力量!极客公园 2024 年度「InnoForce 50」发布
看见创新力量!极客公园 2024 年度「InnoForce 50」发布 原创 极客公园 极客公园 2024-12-14 14:14 排序按照拼音/英文首字母顺序 作为中国领先的创新者社区,极客公园自成立之初便与国内技术创新的浪潮同频共振, 见证了一代又一代技术商业领袖的成长与蜕变。 自 2011 年 1 月首次推出 InnoAwards 以来,极客公园便致力于通过其记录和展示科技互联网领域的年度发
继续阅读在看 | 周报:央视起底倒卖游戏账号犯罪链;“招商银行崩了”冲上热搜;广西网安部门因未尽网络安全义务对某公司进行警告
在看 | 周报:央视起底倒卖游戏账号犯罪链;“招商银行崩了”冲上热搜;广西网安部门因未尽网络安全义务对某公司进行警告 原创 管窥蠡测 安在 2024-12-14 08:25 热点事件,政策法规,产业要闻,资讯报告,尽在「网安周报」。与网安发展同步,采业界资讯共赏,天天见闻,周周必报。 安全事件 1、央视起底倒卖游戏账号犯罪链 经过近一年的侦破工作,山东济宁曲阜警方近日摧毁一个利用制作、安装木马程序
继续阅读安全学院24期开班福利!大咖嘉宾课、poc知识星球免费送
安全学院24期开班福利!大咖嘉宾课、poc知识星球免费送 掌控安全EDU 掌控安全EDU 2024-12-14 04:05 扫码咨询 领福利 作为高薪高技术高缺口的网络行业,通过自学能达到就业标准那当然很棒,但是并不是所有人都适合这条路.有人一走就是1年,甚至更久.. 为什么会有培训机构的存在? 存在即合理,相对于校园的偏理论授课,我们会更倾向于实战教学 ,网络安全是顶级学科,以渗透实战为主的技术
继续阅读知名企业级文件传输产品存在漏洞,正在被黑客利用
知名企业级文件传输产品存在漏洞,正在被黑客利用 Alpha_h4ck FreeBuf 2024-12-14 02:04 网络安全公司 Huntress 在周一警告称,影响企业软件制造商 Cleo 多个文件传输产品的漏洞未正确修补,并在过去至少一周内被利用。Cleo 是一家总部位于伊利诺伊州的公司,为超过 4200 家组织提供供应链和 B2B 集成解决方案。 该漏洞影响 Cleo 的LexiCom
继续阅读考研还有VIP?人财两空要注意!|大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
考研还有VIP?人财两空要注意!|大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 黑白之道 2024-12-14 01:55 考研还有VIP?人财两空要注意! 2025年全国硕士研究生招生考试即将拉开帷幕,“包过”、“考研VIP通道”等广告词在考生群里传播。请考生及家长切勿听信谣言,铤而走险,最终只会落得人财两空! 案例分享 在2024年全国硕士研究生招生考试中,网安部门打掉一个以“考
继续阅读