.NET 复现某OA 3个SQL堆叠注入漏洞
.NET 复现某OA 3个SQL堆叠注入漏洞 专攻.NET安全的 dotNet安全矩阵 2024-04-13 08:30 01 应用介绍 某宝 OA是一款企业级办公自动化系统,提供了一系列功能强大的工具,包括但不限于流程审批、文档管理、日程安排、协同办公、人事管理等,为企业提供了一个集成化的解决方案。OA 通过提高工作效率、降低运营成本、优化业务流程等方面,为企业带来了显著的商业价值。 02 漏洞
继续阅读标签: 行业
预算超2亿元,这家经纪公司扩大零日漏洞收购规模
预算超2亿元,这家经纪公司扩大零日漏洞收购规模 安全内参编译 安全内参 2024-04-10 18:21 关注我们 带你读懂网络安全 iPhone零日漏洞报价最高700万美元,安卓手机零日漏洞报价500万美元, Chrome和Safari零日漏洞报价超300万美元。 前情回顾·零日漏洞市场 – 2023年零日漏洞在野利用激增,商业间谍软件是主要使用者 单个漏洞利用链最高近1.5亿元!零
继续阅读漏洞预警 龙卷风科技 cms 存在文件读取漏洞
漏洞预警 龙卷风科技 cms 存在文件读取漏洞 by 融云安全-sm 融云攻防实验室 2024-04-10 17:19 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文
继续阅读直播回放更新!《系统0day安全-Windows平台漏洞挖掘(第2期)》
直播回放更新!《系统0day安全-Windows平台漏洞挖掘(第2期)》 看雪课程 看雪学苑 2024-04-09 17:59 4月6日直播回放更新 CVE-2020-0714分析: https://www.kanxue.com/book-166-4230.htm**** 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,
继续阅读Hugging Face 等AI即服务平台易受严重漏洞影响,遭AI供应链攻击
Hugging Face 等AI即服务平台易受严重漏洞影响,遭AI供应链攻击 Deeba Ahmed 代码卫士 2024-04-09 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司 Wiz.io 发现,AI即服务(即 AI Cloud)平台如 Hugging Face 等易受严重风险,可导致攻击者提升权限、获得跨租户访问权限并可能接管CI/CD管道。 问题简述 AI
继续阅读五角大楼如何修复军方软件的漏洞?
五角大楼如何修复军方软件的漏洞? 网络安全应急技术国家工程中心 2024-04-09 14:59 美国军方使用的太多应用程序都是基于充满漏洞的代码构建,并且由五角大楼本身分发。可以肯定的是,软件增强军事行动能力的宣传听越来很诱人,但它也隐藏了太多危险的安全问题。 如果软件要更多地带来好处而不是带来负担,那么就必须发现并修复其不可避免的缺陷,然后才能被俄罗斯和其他外国对手利用。不幸的是,在对五角
继续阅读【安全圈】男子利用网络漏洞刷取游戏金币,非法获利413万,被判刑三年六个月
【安全圈】男子利用网络漏洞刷取游戏金币,非法获利413万,被判刑三年六个月 维克多 安全圈 2024-04-07 19:01 关键词 漏洞 互联网时代,网络游戏行业繁荣发展,职业玩家也应运而生。很多玩家把玩游戏获得的金币和装备变卖作为赚钱的一条途径,但利用网络漏洞非法刷取游戏金币的行为则可能涉嫌犯罪。 23年10月23日,经滨江区检察院提起公诉,被告人徐某犯非法获取计算机信息系统数据罪,判处有期徒
继续阅读灰色地带需求井喷:零日漏洞价格再创新高
灰色地带需求井喷:零日漏洞价格再创新高 天御 天御攻防实验室 2024-04-07 11:30 在网络安全领域,有一个神秘而又令人不安的灰色地带 – 零日漏洞市场。这里交易的是一种被称为”零日漏洞”的黑客工具,利用软件系统中未被发现和修复的安全漏洞,可以轻松突破设备和应用的防线。而近期,这些黑客工具的价格出现了惊人的飙升。 初创公司Crowdfense本周公布的
继续阅读被忽视的“高危漏洞”
被忽视的“高危漏洞” 黑白之道 2024-04-05 07:43 由于网络威胁的持续增长和安全人才的长期短缺,网络安全属于典型的“高压职业”,有时甚至还会面临法律风险。但网络安全人员的心理健康问题却经常被忽视,直至产生“人为错误或疏忽”导致的严重网络安全事故。 根据Gartner近期发布的2024年网络安全预测报告,“人为因素”将是CISO未来关注的重点,甚至超过了技术因素。任何希望建立有效、可持
继续阅读用友NC Cloud importhttpscer接口存在任意文件上传漏洞
用友NC Cloud importhttpscer接口存在任意文件上传漏洞 南风徐来 南风漏洞复现文库 2024-04-04 22:58 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友NC Cloud importhttpscer
继续阅读谷歌报告显示:2023 年 50% 的0day漏洞利用背后都是间谍软件供应商
谷歌报告显示:2023 年 50% 的0day漏洞利用背后都是间谍软件供应商 网络安全应急技术国家工程中心 2024-04-01 15:49 导读 谷歌威胁分析小组 (TAG) 和谷歌子公司 Mandiant 表示,他们观察到 2023 年攻击中利用的 0day 漏洞数量显着增加,其中许多与间谍软件供应商及其客户有关。 谷歌研究人员周三表示,他们观察到 2023 年有 97 个 0day 漏洞被利
继续阅读明晚19点直播课!欢迎报名《系统0day安全-Windows平台漏洞挖掘(第2期)》
明晚19点直播课!欢迎报名《系统0day安全-Windows平台漏洞挖掘(第2期)》 看雪课程 看雪学苑 2024-03-30 18:00 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安
继续阅读NIST 成立新联盟来运营美国家漏洞数据库(NVD)
NIST 成立新联盟来运营美国家漏洞数据库(NVD) 安全客 2024-03-29 16:34 美国国家标准与技术研究院 (NIST) 正式宣布将把世界上使用最广泛的软件漏洞存储库的部分管理工作移交给行业联盟。 NIST 是美国商务部的一个机构,于 2005 年推出了美国国家漏洞数据库 (NVD) 并一直运营至今。 这种情况预计会发生变化,数据库最早从 2024 年 4 月开始将交由经过审查的组织
继续阅读泛微E-Office10存在phar反序列化漏洞
泛微E-Office10存在phar反序列化漏洞 安恒研究院 安恒信息CERT 2024-03-28 20:39 漏洞概述 漏洞名称 泛微E-Office10存在phar反序列化漏洞 安恒CERT评级 1级 CVSS3.1评分 10.0(安恒自评) CVE编号 未分配 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 WM-202403-000001 POC情况 已发现 EXP情况
继续阅读创宇安全智脑 | Adobe Coldfusion pms 任意文件读取(CVE-2024-20767)等19个漏洞可检测
创宇安全智脑 | Adobe Coldfusion pms 任意文件读取(CVE-2024-20767)等19个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-03-28 16:48 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、
继续阅读0328-新型僵尸网络感染全球88个国家/地区-主流AI算力框架漏洞威胁全球数千大模型-印度国防部等机构被黑客打穿
0328-新型僵尸网络感染全球88个国家/地区-主流AI算力框架漏洞威胁全球数千大模型-印度国防部等机构被黑客打穿 网络盾牌 网络盾牌 2024-03-28 16:21 点击上方蓝色文字关注我们 今日全球网安资讯摘要**** 特别关注 新型僵尸网络感染全球88个国家/地区,超6千台华硕路由器遭攻击 主流AI算力框架漏洞威胁全球数千大模型 印度国防部等机构被黑客打穿,泄露 8.8GB 数据 特别关注
继续阅读要闻 | 主流 AI 算力框架漏洞威胁全球数千大模型
要闻 | 主流 AI 算力框架漏洞威胁全球数千大模型 内生安全联盟 2024-03-28 15:37 近日,知名网络安全公司Oligo Security发现人工智能行业主流算力框架Ray的一个未修复安全漏洞正被黑客野外大规模利用,攻击AI工作负载并窃取敏感(生产)数据和算力。 包括亚马逊、Uber、OpenAI等数以千计的人工智能企业受到影响,数百个集群已经遭到攻击,超过10亿美元算力遭到“劫持”
继续阅读主流AI算力框架漏洞威胁全球数千大模型
主流AI算力框架漏洞威胁全球数千大模型 网络安全应急技术国家工程中心 2024-03-28 15:14 近日,知名网络安全公司Oligo Security发现人工智能行业主流算力框架Ray的一个未修复安全漏洞正被黑客野外大规模利用,攻击AI工作负载并窃取敏感(生产)数据和算力。 包括亚马逊、字节跳动、Uber、OpenAI等数以千计的人工智能企业受到影响,数百个集群已经遭到攻击,超过10亿美元算力
继续阅读黑客利用 Aiohttp 漏洞寻找脆弱的网络
黑客利用 Aiohttp 漏洞寻找脆弱的网络 塞讯安全验证 2024-03-28 13:30 勒 索软件攻击团伙 ShadowSyndicate 近期被观察到正在扫描存在 CVE-2024-23334漏洞的服务器,这是aiohttp Python库中的一个目录遍历漏洞。 Aiohttp 是一个构建在 Python 异步 I/O 框架 Asyncio 之上的开源库,可以在没有传统的基于线程的网络的情
继续阅读【漏洞通告】Adobe ColdFusion 访问控制错误漏洞
【漏洞通告】Adobe ColdFusion 访问控制错误漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 ColdFusion版本2023.6、2021.12及更早版本受到不当访问控制漏洞的影响,该漏洞可能导致任意文件系统读取。攻击者可以利用此漏洞绕过安全措施,获得对敏感文件的未经授权的访问权限,并执行任意文件系统写入。利用此问题不需要用
继续阅读【漏洞通告】用友NC Cloud runScript SQL注入漏洞
【漏洞通告】用友NC Cloud runScript SQL注入漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 用友NC Cloud runScript 接口存在SQL注入漏洞,攻击者利用此漏洞可以获取数据库敏感数据。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称飞企互联/cooperate/videotexMonitor.jsp SQ
继续阅读【漏洞通告】用友OA IPortalSpecService目录穿越漏洞
【漏洞通告】用友OA IPortalSpecService目录穿越漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 用友OA存在目录穿越漏洞,攻击者利用该漏洞可执行任意代码。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称用友OA IPortalSpecService目录穿越漏洞漏洞编号CVE编号无漏洞评估披露时间2024-03-14漏洞类
继续阅读【漏洞通告】章管家-印章智慧管理平台文件上传漏洞
【漏洞通告】章管家-印章智慧管理平台文件上传漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 章管家-印章智慧管理平台存在文件上传漏洞,这可能导致恶意文件被上传到服务器,从而对系统造成损害,或者被用于进行其他攻击,比如利用服务器作为存储或传播恶意软件的平台。02 漏洞处置综合处置优先级:中漏洞信息漏洞名称章管家-印章智慧管理平台文件上传漏洞漏
继续阅读商混ERP系统sys接口存在SQL注入漏洞|漏洞预警
商混ERP系统sys接口存在SQL注入漏洞|漏洞预警 原创 漏洞挖掘 渗透安全HackTwo 2024-03-28 00:01 0x01 产品简介 商混ERP系统是一种针对混凝土行业开发的综合性企业资源规划(ERP)系统。它集成了生产、销售、采购、财务等各个方面的功能,为混凝土生产企业提供了一个全面、高效的数字化管理平台。 这里我推荐利用 ZoomEye ****搜索引擎直接输入关键字即可,影响资
继续阅读可能吗?CISA竟想“彻底终结”SQL漏洞
可能吗?CISA竟想“彻底终结”SQL漏洞 小薯条 FreeBuf 2024-03-27 18:58 左右滑动查看更多 3月25日(本周一),网络安全与基础设施安全局(CISA)和联邦调查局(FBI)发布了 “安全设计 “警报。他们将 SQL 注入漏洞(SQLi)归入”不可饶恕的 “一类漏洞。 警报指出:尽管在过去二十年中,人们普遍了解并记录了 SQ
继续阅读【漏洞复现】[0day推送] 宏脉医美行业管理系统 存在中危漏洞
【漏洞复现】[0day推送] 宏脉医美行业管理系统 存在中危漏洞 原创 淮橘安全 淮橘安全 2024-03-27 17:20 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 “ 设为星标 ”, 否则可能就看不到了啦 !每
继续阅读开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源
开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源 Bill Toulas 代码卫士 2024-03-27 17:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 名为 “ShadowRay” 的攻击活动利用热门开源 AI 框架 Ray 中的0day 从数千家公司劫持算力并泄露敏感数据。 Oligo 公司发布报告称,攻击至少始于2023年9月5日,针对的是教育、密币、生物制药等行
继续阅读DSN Injection(CVE-2022-3023)
DSN Injection(CVE-2022-3023) 原创 fatmo i春秋 2024-03-27 17:01 本文是 i春秋论坛签约作家「fatmo」分享的技术文章, 所涉及的内容仅限用于学习和研究目的,不得将正文内容用于商业或者非法用途 !**** 公众号旨在为大家提供更多的学习方法与技能技巧, 文章仅供学习参考。 fatmo 2年网络安全行业的从业经验,目前做安全开发的工作,擅长恶意代
继续阅读漏洞预警 | 用友UFIDA-NC任意文件下载漏洞
漏洞预警 | 用友UFIDA-NC任意文件下载漏洞 网络威胁数据联盟 2024-03-27 15:41 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC以“全球化集团管控、行业化解决方案、全程化电子商务、平台化应用集成”的管理业务理念而设计,采用J2EE架构和先进开放的集团级开发平台UAP,形成了集团管控8大领域15大行业68个细
继续阅读如何使用route-detect在Web应用程序路由中扫描身份认证和授权漏洞
如何使用route-detect在Web应用程序路由中扫描身份认证和授权漏洞 Alpha_h4ck FreeBuf 2024-03-26 18:54 关于route-detect route-detect是一款功能强大的Web应用程序路由安全扫描工具,该工具可以帮助广大研究人员在Web应用程序路由中轻松识别和检测身份认证漏洞和授权漏洞。 Web应用程序HTTP路由中的身份认证(authn)和授权(
继续阅读