SAST国标分析︱灵脉AI深度兼容GB/T 34943/34944-2017源代码漏洞测试规范 数说安全 2025-05-28 06:30 随着信息技术的飞速发展,软件系统的规模和复杂度不断增加。在C/C++和Java语言编写的软件中,代码量庞大且结构复杂,这使得隐藏在源代码中的漏洞数量也随之增多。这些漏洞可能被攻击者利用,从而对软件系统的安全性、稳定性和可靠性造成严重威胁。这使得制定C/C++和
继续阅读通达OA OfficeTask前台RCE、SQL注入漏洞分析 原创 烽火台实验室 Beacon Tower Lab 2025-05-28 02:55 一、漏洞概述 注:本文仅以安全研究为目的,分享对该漏洞的挖掘过程,文中涉及的所有漏洞均已报送给国家单位,请勿用做非法用途。 通达OA是国内常用的智能办公系统,为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析
继续阅读自学黑客技术多长时间能达到挖漏洞的水平?零基础入门到精通,收藏这篇就够了 k哥网络安全 2025-05-28 02:13 抱着一个明确的目的去学习,学习效果能够事半功倍,给你点个赞。 但值得注意的一个点是: 任何未经授权的挖洞行为,都是违法的!!! 任何未经授权的挖洞行为,都是违法的!!! 任何未经授权的挖洞行为,都是违法的!!! 这一点一定要切记!!!!!!! 接下来回归主题,你想挖漏洞做副业这
继续阅读独家洞察|Mallox勒索团伙疑似继续利用产品漏洞攻击投毒国内数百个资产 运营保障部 中国电信安全 2025-05-28 01:14 2025年2月至5月,中国电信安全公司·MSSP团队及华南区域中心发现,境外高级勒索团伙疑似利用20多款产品的漏洞攻击中国境内数据中心、外贸、教育、医疗及物业管理等行业,涉及数百个企业/部门。 根据多个事件现场排查及全网风险态势分析,多数失陷资产遭勒索木马快速加密数
继续阅读Panalog大数据日志审计系统sprog_upstatus.php存在SQL注入漏洞 附POC 2025-5-27更新 南风漏洞复现文库 2025-05-27 15:37 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Panalog
继续阅读黑客发起全球间谍行动,政府邮箱被利用XSS漏洞入侵 网络攻防情报小组 C4安全团队 2025-05-27 06:05 近日,安全研究人员披露,一个名为“RoundPress” 的全球网络间谍活动正在持续展开,攻击者通过 Webmail 服务中的数个XSS漏洞,对全球多国政府和关键机构发起邮件窃密攻击。该行动被认为与黑客组织 APT28(又称“Fancy Bear”或“Sednit”)有关。 一、行
继续阅读WebShell 绕过 EDR 监控,不调用 cmd 也能实现命令执行 专攻.NET安全的 dotNet安全矩阵 2025-05-27 00:20 在红队渗透环境中, 攻防对抗的深度不断升级,安全厂商纷纷将注意力从传统病毒特征识别,转向对行为链的监控和阻断。 红队常用的 cmd.exe 指令执行方式在越来越多的场景中被标记为高危操作。即便你伪装得再好,只要触发了这一调用链,如EDR、HIDS就可
继续阅读OpenAI大语言模型漏洞挖掘 点击关注→ 智探AI应用 2025-05-26 10:15 该事件引发了业内广泛关注,标志着AI在漏洞挖掘领域的实用能力正从理论走向现实。 来源|安全客 以下为全文 近日,一个编号为CVE-2025-37899的Linux内核0Day漏洞被披露。不同于传统由人类安全研究员或自动化工具挖掘,本次漏洞的发现者是OpenAI最新发布的大语言模型ChatGPT o3。该事件
继续阅读每周网安资讯 (5.20-5.26)| Poedit 安全漏洞 交大捷普 2025-05-26 10:14 2025[ 每周网安资讯 ]5.20-5.26 网安资讯 1、中央网信办等三部门印发《2025年深入推进IPv6规模部署和应用工作要点》 近日,中央网信办、国家发展改革委、工业和信息化部联合印发《2025年深入推进IPv6规模部署和应用工作要点》(以下简称《工作要点》)。《工作要点》要求,坚
继续阅读CNVD漏洞周报2025年第19期 原创 CNVD CNVD漏洞平台 2025-05-26 08:28 2 0 2 5 年 0 5 月1 9 日 – 2 0 2 5 年 0 5 月25 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞315个,其中高危漏洞169个
继续阅读关键基础设施遭受攻击:漏洞成为黑客首选武器 数世咨询 2025-05-26 08:00 黑客越来越多地利用漏洞来入侵关键基础设施系统 。IBM X-Force 的数据显示,去年其响应的安全事件中,70%发生在关键基础设施领域,其中超过四分之一是通过漏洞利用实现的。 IBM X-Force 战略威胁分析经理 Michelle Alvarez 表示:“过去一年,我们观察到攻击手段持续转向身份攻击,尤其
继续阅读AI首次独立发现Linux内核可利用0Day漏洞 安全客 2025-05-26 06:45 近日,一个编号为CVE-2025-37899 的Linux内核0Day漏洞 被披露。不同于传统由人类安全研究员或自动化工具挖掘,本次漏洞的发现者是OpenAI 最新发布的大语言模型ChatGPT o3 。该事件引发了业内广泛关注,标志着AI在漏洞挖掘领域的实用能力正从理论走向现实 。 漏洞概述 CVE-20
继续阅读车联网安全 | 通过API漏洞控制全球日产LEAF车辆功能 白帽子左一 白帽子左一 2025-05-26 04:03 小编寄语:虽然是很老的报告,但小编认为在当下仍然具有启发意义 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 上个月,我在挪威为 ProgramUtvikling 做了一场培训,他们是我非常喜欢的 NDC
继续阅读黑客宣称利用 API 接口漏洞窃取 12 亿 Facebook 用户记录 三沐 三沐数安 2025-05-26 03:15 背景: 攻击者声称通过滥用Meta旗下Facebook的应用程序接口(API)非法获取了包含12亿条用户记录的数据库,并将该数据集发布于知名数据泄露论坛。 若得到证实,这将成为Facebook历史上最大规模的数据泄露事件之一。 网络安全媒体Cybernews研究团队对攻击
继续阅读记一次拿下全校信息的漏洞+垂直越权 原创 猎洞时刻 猎洞时刻 2025-05-25 14:25 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑灰产、非法入侵、
继续阅读黑客利用Cisco路由器漏洞建立大规模Honeypot网络,全球感染5300多台设备 知机安全 知机安全 2025-05-24 10:03 1. ViciousTrap黑客组织利用Cisco路由器漏洞建立大规模 honeypot网络 网络安全研究人员披露,一个名为ViciousTrap的威胁行动者已经通过利用Cisco Small Business Routers的严重安全漏洞,感染了5300多台
继续阅读XunFeng【适用于企业内网的漏洞快速应急,巡航扫描系统】 原创 白帽学子 白帽学子 2025-05-24 04:21 最近找到了一款开源的网络安全工具——巡风,用着还挺顺手,跟大家分享分享。特别适合像hvv行动、zb任务这种场景,用于快速掌握 企业内网的资产分布情况,还得在短时间内找出潜在的漏洞,及时做好应急处理。 巡风主要有两个核心部分,一个是网络资产识别引擎,另一个是漏洞检测引擎。网络资产
继续阅读因不满漏洞分级,发现者公布WinServer2025 0day细节 会杀毒的单反狗 军哥网络安全读报 2025-05-24 01:00 导读 Akamai 安全团队和微软对未修补的“BadSuccessor”漏洞的严重性存在分歧,在微软拒绝立即发布补丁后,Akamai 公布了 Windows Server 2025 中存在的权限提升漏洞细节。 “BadSuccessor”是 Windows Ser
继续阅读ViciousTrap利用思科漏洞构建全球蜜罐网络:5300余台设备沦为监控工具 原创 道玄安全 道玄网安驿站 2025-05-23 23:00 “ 思科。” PS:有内网web自动化需求可以私信 01 — 导语 2025年5月,网络安全公司Sekoia.io揭露了一项名为 ViciousTrap 的高级持续性威胁活动。该组织通过利用思科(Cisco)路由器的漏洞(CVE-2023-20118)
继续阅读BadSuccessor 漏洞究竟有多严重?Akamai 和微软意见不一 Ryan Naraine 代码卫士 2025-05-23 10:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Akamai 公司的安全团队公开披露了位于 Windows Server 2025中的一个未修复提权漏洞 “BadSuccessor” 的利用详情。该漏洞可导致攻击者攻陷活动目录中的任意用户。 Akam
继续阅读【国际视野】美国国家标准与技术研究院推出识别IT漏洞利用的公式 原创 天极智库 天极智库 2025-05-23 10:31 “ 天极按 近日, 网络安全和基础设施安全局(CISA)发布了《联合网络防御协作组织人工智能网络安全协作手册》(Joint Cyber Defense Collaborative (JCDC) Artificial Intelligence (AI) Cybersecurit
继续阅读等保测评中漏洞扫描:筑牢网络安全防线的关键利器 国源天顺 2025-05-23 10:12 一、漏洞扫描的定义与核心价值 漏洞扫描是基于CVE、CNVD等权威漏洞数据库,通过自动化工具对信息系统进行系统性安全检测的技术手段。其核心价值在于通过模拟攻击行为,发现系统存在的软件缺陷、配置错误或未修复补丁等安全隐患,为安全加固提供精准依据。在等保测评体系中,漏洞扫描是验证信息系统是否符合《信息安全等级保
继续阅读美国NIST、CISA联合提出漏洞利用概率度量标准 安全内参 2025-05-23 08:41 关注我们 带你读懂网络安全 NIST和CISA号召行业协作。 编译:代码卫士 CISA和NIST 的研究人员提出一项新的网络安全度量标准,旨在计算漏洞已遭在野利用的可能性。 NIST研究员 Peter Mell 和 CISA 研究员 Jonathan Spring 发表论文,说明了他们所提出的“可能遭利
继续阅读疑似俄罗斯APT28组织在全球攻击活动中利用0Day漏洞——每周威胁情报动态第223期 (05.16-05.22) 原创 BaizeSec 白泽安全实验室 2025-05-23 01:00 APT攻击 – 疑似俄罗斯 APT28 组织 在全球 攻击 活动中利用 0Day 漏洞 Swan-Vector APT组织通过DLL植入技术针对台湾与日本发动网络攻击 攻击活动 – 知名
继续阅读.NET WebShell 绕过 EDR 监控,不调用 cmd.exe 也能实现命令执行 专攻.NET安全的 dotNet安全矩阵 2025-05-23 00:30 在红队渗透环境中, 攻防对抗的深度不断升级,安全厂商纷纷将注意力从传统病毒特征识别,转向对行为链的监控和阻断。 红队常用的 cmd.exe 指令执行方式在越来越多的场景中被标记为高危操作。即便你伪装得再好,只要触发了这一调用链,如E
继续阅读漏洞安全亦是国家安全|斗象晋级CNNVD国家漏洞库首批“核心技术支撑单位” 斗象科技 2025-05-22 10:15 4月16日,美国非营利组织MITRE宣布,作为全球漏洞管理基石的CVE通用漏洞披露数据库,由于美国联邦政府不再与其续签合同,面临停摆危机,引发多方关注。(查看报道) 5月16日,国家信息安全漏洞库(CNNVD)2024年度工作总结暨优秀表彰大会在京隆重召开,会议强调了当前全球复杂
继续阅读【风险通告】VMware vCenter存在命令执行漏洞(CVE-2025-41225) 安恒研究院 安恒信息CERT 2025-05-22 09:55 漏洞概述 漏洞名称 VMware vCenter存在命令执行漏洞(CVE-2025-41225) 安恒CERT评级 2级 CVSS3.1评分 8.8 CVE编号 CVE-2025-41225 CNVD编号 未分配 CNNVD编号 未分配 安恒CE
继续阅读漏洞复现|无垠智能模糊测试系统实战复现OpenSSL高危漏洞 原创 Yannis 云起无垠 2025-05-22 08:30 本文将详细介绍如何使用无垠智能模糊测试系统复现OpenSSL中的CVE-2022-3602漏洞。平台不仅简化了模糊测试流程,还通过AI赋能大幅提升了漏洞挖掘的效率和准确性,为企业构建自动化安全测试体系提供了强有力的支持。 背景介绍 在网络安全领域,OpenSSL作为广泛应用
继续阅读NIST、CISA联合提出漏洞利用概率度量标准 Eduard Kovacs 代码卫士 2025-05-21 10:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA和NIST 的研究人员提出一项新的网络安全度量标准,旨在计算漏洞已遭在野利用的可能性。 NIST研究员 Peter Mell 和 CISA 研究员 Jonathan Spring 发表论文,说明了他们所提出的“可能遭利
继续阅读【AI风险通告】vLLM存在远程代码执行漏洞(CVE-2025-47277) 安恒研究院 安恒信息CERT 2025-05-21 10:15 漏洞概述 漏洞名称 vLLM存在远程代码执行漏洞(CVE-2025-47277) 安恒CERT评级 1级 CVSS3.1评分 9.8(安恒自评) CVE编号 CVE-2025-47277 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-
继续阅读