渗透测试高频面试题分享
渗透测试高频面试题分享 游不动的小鱼丶 安全洞察知识图谱 2024-11-29 00:30 免责声明 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全洞察知识图谱及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1工具介绍 1、TCP与UDP区别总结? TCP面向连接(如打电话要先拨号建立连接
继续阅读标签: 行业
【0Day】圣乔ERP系统name*存在SQL注入漏洞
【0Day】圣乔ERP系统name*存在SQL注入漏洞 原创 xiachuchunmo 银遁安全团队 2024-11-28 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 *圣乔 ERP系统是杭州圣乔科技有限公司开发的一款企业级管理软件,旨在为企业提供一套全面、集成化的管理解决方案,帮助企业实现资源的优化配置和高效利用。该系统集成了财务
继续阅读新书发售抢先看:《Web漏洞分析与防范实战(卷1)》
新书发售抢先看:《Web漏洞分析与防范实战(卷1)》 知道创宇404实验室 2024-11-28 11:26 1 文末有赠书福利~ ” 在过去的三十年里,Web技术经历了迅猛的发展,其影响力已经深入到公共和个人生活的方方面面。全球数以亿计的用户依赖于Web技术来获取信息、进行交易、社交互动以及娱乐活动。尽管万维网的开放性和互联性促进了信息的自由流通,但这些特性也使其成为了黑客攻击的目标。 每年,W
继续阅读知名压缩软件被曝严重漏洞,谁会成为受害者?
知名压缩软件被曝严重漏洞,谁会成为受害者? 奇安信集团 2024-11-28 10:08 近日,主流文件压缩工具7-Zip被曝存在一个严重安全漏洞,攻击者可以利用该漏洞在当前进程上下文执行代码,可能导致攻击者获取与登录用户相同的访问权限,实现完全的系统绕过。该漏洞编号为CVE-2024-11477,CVSS评分7.8分,表明受影响版本的用户面临重大安全风险。 目前,7-Zip已在24.07版本中修
继续阅读创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测
创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-11-28 09:31 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态
继续阅读新书来了!《Web漏洞分析与防范实战(卷1)》正式发售
新书来了!《Web漏洞分析与防范实战(卷1)》正式发售 知道创宇 2024-11-28 09:04 1 文末有赠书福利~ ” 在过去的三十年里,Web技术经历了迅猛的发展,其影响力已经深入到公共和个人生活的方方面面。全球数以亿计的用户依赖于Web技术来获取信息、进行交易、社交互动以及娱乐活动。尽管万维网的开放性和互联性促进了信息的自由流通,但这些特性也使其成为了黑客攻击的目标。 每年,Web页面和
继续阅读Intruder推出Intel:一个免费的漏洞情报平台
Intruder推出Intel:一个免费的漏洞情报平台 数世咨询 2024-11-28 08:00 当 CVEs (常见漏洞和披露)成为热门话题时,从众多信息中甄别出关键的安全威胁并采取行动至关重要。正因为如此,专注于攻击面管理的知名厂商 Intruder 推出了 Intel 【译者:非芯片 Intel 】 —— 这一免费的漏洞智能平台旨在帮助分析者迅速识别并优先处理真正的风险。 Intel简介:
继续阅读RomCom 黑客利用 Firefox 和 Windows 零日漏洞
RomCom 黑客利用 Firefox 和 Windows 零日漏洞 胡金鱼 嘶吼专业版 2024-11-28 06:00 总部位于俄罗斯的 RomCom 网络犯罪组织在最近针对欧洲和北美 Firefox 和 Tor 浏览器用户的攻击中发现了两个零日漏洞。 第一个漏洞 (CVE-2024-9680) 是 Firefox 动画时间线功能中的释放后使用错误,该功能允许在 Web 浏览器的沙箱中执行代码
继续阅读漏洞预警 | 懂微百择唯·供应链SQL注入漏洞
漏洞预警 | 懂微百择唯·供应链SQL注入漏洞 浅安 浅安安全 2024-11-28 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 懂微科技是一家专注于办公服务行业电商解决方案的提供商,致力于为办公服务行业赋能、提升效率和核心竞争力。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 懂微百择
继续阅读美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录
美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录 原创 网空闲话 网空闲话plus 2024-11-27 23:39 正当媒体热炒X台风入侵美国主要电信网络之际,一个名为kiberphant0m的威胁行为者浮出水面,这个被忽视威胁行为者近一段时间多次声称出售有关电信服务提供商、电信业务以及美国国家安全局的权限和数据,并直接了
继续阅读「漏洞复现」顺景ERP Download/GetFile 任意文件读取漏洞
「漏洞复现」顺景ERP Download/GetFile 任意文件读取漏洞 冷漠安全 冷漠安全 2024-11-27 22:03 0x01免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关
继续阅读【大量存在】用友U8C ajaxgetborrowdata存在SQL注入漏洞
【大量存在】用友U8C ajaxgetborrowdata存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-27 22:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **用友crm客户关系管理的第一需求就是对客户信息的集中管理和共享利用,即客户资源的企业化管理,避免因业务调整或人员变动造成的客户资源流失和客户管理盲
继续阅读无需用户交互即可利用 Firefox CVE-2024-9680 和 Windows CVE-2024-49039中的零日漏洞
无需用户交互即可利用 Firefox CVE-2024-9680 和 Windows CVE-2024-49039中的零日漏洞 独眼情报 2024-11-27 12:57 在最近的一份网络安全报告中,ESET 研究人员揭露了与俄罗斯结盟的威胁行为者 RomCom 发起的协同攻击,该攻击利用了 Mozilla Firefox 和 Microsoft Windows 中的零日漏洞。这些漏洞之前并不为人
继续阅读俄黑客组织 RomCom 被指利用火狐和Windows 0day攻击用户
俄黑客组织 RomCom 被指利用火狐和Windows 0day攻击用户 Sergiu Gatlan 代码卫士 2024-11-27 09:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 俄罗斯网络犯罪团伙 RomCom 最近组合利用两个0day漏洞,攻击位于欧洲和北美的火狐和Tor浏览器用户。 第一个漏洞CVE-2024-9680是位于火狐动画时间线特性中的释放后使用 (UAF) 漏
继续阅读大模型应用实践(一):AI助力Code Review安全漏洞发现
大模型应用实践(一):AI助力Code Review安全漏洞发现 原创 腾讯啄木鸟团队 腾讯安全应急响应中心 2024-11-27 03:02 大模型技术的涌现,为行业不断突破安全防护的能力上限提供了新的契机。我们在将大模型技术引入安全垂类领域方面也做了很多尝试,并沉淀形成大模型应用实践系列文章。作为该系列的开篇,本文重点介绍在代码安全领域安全左移的落地实践经验。后续还将推出更多关于大模型在研发安
继续阅读漏洞及指纹库图形化工具 — James_synthesis_tooL(11月25日更新)
漏洞及指纹库图形化工具 — James_synthesis_tooL(11月25日更新) vsdwef Web安全工具库 2024-11-26 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工
继续阅读IBM 修补数据虚拟化管理器、安全 SOAR 中的 RCE 漏洞
IBM 修补数据虚拟化管理器、安全 SOAR 中的 RCE 漏洞 原创 何威风 祺印说信安 2024-11-26 16:00 IBM 周一宣布修复其产品的多个漏洞,包括数据虚拟化管理器和安全 SOAR 中的两个高严重性远程代码执行 (RCE) 问题。 该漏洞编号为 CVE-2024-52899(CVSS 评分为 8.5),存在于 z/OS 数据虚拟化管理器中,可能允许远程经过身份验证的攻击者注入恶
继续阅读用友NC process接口存在SQL注入漏洞 附POC
用友NC process接口存在SQL注入漏洞 附POC 2024-11-26更新 南风漏洞复现文库 2024-11-26 13:39 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. 用友NC简介 微信公众号搜索:南风漏洞复现文库
继续阅读媒资安全×漏洞马拉松,多重福利等你来!
媒资安全×漏洞马拉松,多重福利等你来! 爱奇艺安全应急响应中心 2024-11-26 07:00 活动一:71SRC×漏洞马拉松 活动时间 2024年11月25日-2024年12月25日 活动范围 爱奇艺相关业务,不包括合作方域名 https://security.iqiyi.com/#noticedetail/183 奖励规则 71SRC专属奖励: 高危、严重漏洞 双倍金币 !中危 1.5倍
继续阅读如何通过发现 API漏洞赚到百万美刀
如何通过发现 API漏洞赚到百万美刀 迪哥讲事 2024-11-26 02:30 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发放了超过3亿美
继续阅读第一次听说漏洞复现也能赚钱
第一次听说漏洞复现也能赚钱 Code4th安全团队 Code4th安全团队 2024-11-26 01:16 对于 很多爱好或从事网络安全行业的师傅们来说,漏洞赏金计划无疑是一个既有趣又带劲儿的选择。不过,不少刚入门的小伙伴可能会疑惑:复现漏洞有什么实际收益?或者该从哪里入手? 其实,漏洞复现本身往往不直接带来收入,它更注重熟悉漏洞原理和技术提升。通常情况下,复现漏洞是为了理解代码中产生漏洞的原因
继续阅读大模型安全漏洞报告(2024)
大模型安全漏洞报告(2024) 计算机与网络安全 2024-11-25 23:57 进网络安全行业群 微信公众号 计算机与网络安全 回复 行业群 近日,360数字安全集团发布全球首份《大模型安全漏洞报告》(以下简称“报告”),从模型层安全、框架层安全以及应用层安全三大维度探查安全问题,并借助360安全大模型自动化的代码分析能力,对多个开源项目进行代码梳理和风险评估,最终审计并发现了近40个大模型
继续阅读【1Day】北京亚控科技发展有限公司KingH5Stream系统存在逻辑缺陷漏洞
【1Day】北京亚控科技发展有限公司KingH5Stream系统存在逻辑缺陷漏洞 银遁安全团队 2024-11-25 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **北京亚控科技发展有限公司是一家成立于1997年的工业自动化和信息化软件平台高科技企业。KingH5Stream是基于HTML5技术的优秀视频直播方案,具有低延迟、高性能
继续阅读JAVA代码审计-悟空crm客户管理系统fastjson漏洞
JAVA代码审计-悟空crm客户管理系统fastjson漏洞 船山信安 2024-11-25 16:07 一. 本地搭建 版本:Wukong CRM9.0 搭建需要使用myql数据库和redis两个,使用phpstudy搭建即可,mysql数据库的文件为WukongCRM-9.0-JAVA-9.0.1_20191202/src/main/resources/config/crm9-config.t
继续阅读远程未授权访问漏洞(CVE-2024-23692)
远程未授权访问漏洞(CVE-2024-23692) XiaomingX Web安全工具库 2024-11-25 16:02 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
继续阅读行业 | 360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞
行业 | 360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 中国信息安全 2024-11-25 11:24 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用
继续阅读SRM智联云采系统receiptDetail SQL注入漏洞复现及POC
SRM智联云采系统receiptDetail SQL注入漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-11-25 09:26 FOFA title=="SRM 2.0" 漏洞复现 POC GET /adpweb/api/srm/delivery/receiptDetail?pageSize=1&pageNumber=1&ord
继续阅读发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! Urkc安全 2024-11-25 09:02 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》 透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发
继续阅读财富 1000 强企业中发现3万个API 暴露 和 10 万个 API 漏洞
财富 1000 强企业中发现3万个API 暴露 和 10 万个 API 漏洞 独眼情报 2024-11-25 08:35 全球千强企业巨头暴露的3万个API和10万个API漏洞 一份关于财富1000强和法国CAC 40指数企业API安全风险的惊人发现。 通过结合先进的子域名枚举、AI驱动的指纹识别和开源情报技术,Escape安全研究团队对财富1000强和CAC 40企业的域名进行了爬取。我们发现了
继续阅读致命漏洞与暴露API:财富1000强企业面临的30000个暴露API和10万漏洞挑战
致命漏洞与暴露API:财富1000强企业面临的30000个暴露API和10万漏洞挑战 安全客 2024-11-25 07:01 近日,Escape团队发布《API暴露现状报告2024》,揭示了全球超大型企业组织在API安全方面存在的重大漏洞。 报告覆盖了财富1000强和CAC 40公司的API安全状况,特别指出了这些企业在API管理和防护上的显著缺陷。尤其是在金融、医疗、保险等行业,存在广泛的安全
继续阅读