通用0day挖掘思路
通用0day挖掘思路 迪哥讲事 2024-03-25 21:23 No.0 前言 一直以来都想写一篇挖通用漏洞的文章,但是因为种种原因(懒得很),但是总不能一直不写吧,因为每天都在挖洞,每天都会有新的不同的思路,自己也很努力的在学php、java基础,想为以后学代码审计做准备,但是在此之前,还是想给大家一些不会代码审计怎么挖掘通用漏洞的思路,每挖到一个漏洞都要看看这个漏洞是不是通用的,养成良好的习
继续阅读标签: 行业
飞企互联-FE企业运营管理平台uploadAttachmentServlet 任意文件上传漏洞
飞企互联-FE企业运营管理平台uploadAttachmentServlet 任意文件上传漏洞 TKing的安全圈 2024-03-24 15:51 产品简介 飞企互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。这个平台可以连接人、链接端、联通内外,支持企业B2B、C2B与O2O等核心需求,为不同行业客户的互联网+转型提供支持。其特色在于提供云端
继续阅读用友NC runScript接口存在SQL注入漏洞 附POC软件
用友NC runScript接口存在SQL注入漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-03-20 21:12 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友NC 简介 微信公众号搜索:南风漏洞复现文库 该文章 南
继续阅读行业突破,再添标杆!盛邦安全中标中国工商银行全行漏洞扫描项目
行业突破,再添标杆!盛邦安全中标中国工商银行全行漏洞扫描项目 盛邦安全WebRAY 2024-03-20 20:03 行业突破,再添标杆 近日,盛邦安全凭借全面的扫描能力、出色的扫描性能、丰富的漏洞种类、完善的漏洞管理方案,成功中标中国工商银行全行漏洞扫描项目,体现了盛邦安全在金融安全领域深厚的技术积累与突出的专业能力,更是公司在满足金融行业高标准、严要求下取得的重要突破,为行业创新应用再添标杆案
继续阅读压力使人倦怠,倦怠让安全漏洞百出
压力使人倦怠,倦怠让安全漏洞百出 原创 管窥蠡测 安在 2024-03-20 18:06 安全工作常常伴随着巨大的压力,特别是在当下威胁不断演变、攻击者不断增多的时代里,各行各业都面临风险问题。因此安全部门的工作压力日益膨胀,每位安全人员都会对工作产生倦怠心理,更不要说数字化转型步伐不断前进,安全人员正可谓背负着让人无法想象的责任和重担。 在这不可预测、不断变化的环境中,安全人员并没有明确的解决方
继续阅读用友NC base64接口存在SQL注入漏洞 附POC软件
用友NC base64接口存在SQL注入漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-03-15 22:50 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. 用友NC base64接口简介 微信公众号搜索:南风漏洞复现文
继续阅读安全左移是责任左移吗;漏洞重复出现怎么办 | FB甲方群话题讨论
安全左移是责任左移吗;漏洞重复出现怎么办 | FB甲方群话题讨论 原创 Zicheng FreeBuf 2024-03-15 19:08 ▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 232期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 话题抢先看 有种观点认为安全左移往往是把安
继续阅读【漏洞情报】Fortinet FortiOS & FortiProxy越界写入漏洞
【漏洞情报】Fortinet FortiOS & FortiProxy越界写入漏洞 云弈安全 2024-03-15 18:30 01 漏洞信息 Fortinet FortiOS是美国飞塔公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiGate在2月份发布了版本更新,
继续阅读软件安全评估之软件漏洞基础
软件安全评估之软件漏洞基础 原创 MMM 洞源实验室 2024-03-15 18:00 零 基础概念 在软件安全的语境中,漏洞是指软件中的具体缺陷或疏忽,能够被攻击者利用并执行一些恶意行为,例如泄露或修改敏感信息、干扰或销毁系统、接管计算机系统或程序权限等等。 安全漏洞(Vulnerability)与大众熟悉的软件缺陷(Bug)有所不同。软件缺陷是程序中的错误、失误或疏忽,导致意外或者不希望发生的
继续阅读龙年首场「漏洞攻防安全」| 第13期安全范儿沙龙开启
龙年首场「漏洞攻防安全」| 第13期安全范儿沙龙开启 安全范儿技术沙龙 小米安全中心 2024-03-14 18:15 随着攻击商业模式的逐步成熟,利用漏洞攻击带来的影响也在放大。对于企业安全团队来说,如何捕捉攻击团队的攻击技巧,提前发现安全漏洞,并转化为具体安全检测实践的能力,是一个很大挑战。 3月22日,安全范儿技术沙龙再度开启,龙年首场沙龙主题再次聚焦「漏洞攻防安全」。来自字节跳动无恒实验室
继续阅读2024-03 补丁日: 微软多个漏洞安全更新通告
2024-03 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2024-03-13 14:07 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-740 报告来源:360CERT 报告作者:360CERT 更新日期:2024-03-13 1 漏洞简述 2024年03月13日,360CERT监测发现Microsoft发布了2024年3月安全更新,事件等级:严
继续阅读弹出生成器WordPress插件漏洞利用
弹出生成器WordPress插件漏洞利用 THN 知机安全 2024-03-13 09:58 A new malware campaign is leveraging a high-severity security flaw in the Popup Builder plugin for WordPress to inject malicious JavaScript code. 一项新的恶意软
继续阅读龙年首场「漏洞攻防安全」| 第13期安全范沙龙开启
龙年首场「漏洞攻防安全」| 第13期安全范沙龙开启 原创 安全范儿技术沙龙 字节跳动安全中心 2024-03-11 18:07 随着攻击商业模式的逐步成熟,利用漏洞攻击带来的影响也在放大。对于企业安全团队来说,如何捕捉攻击团队的攻击技巧,提前发现安全漏洞,并转化为具体安全检测实践的能力,是一个很大挑战。 3月22日,安全范儿技术沙龙再度开启,龙年首场沙龙主题再次聚焦「漏洞攻防安全」。来自字节跳动无
继续阅读论当今白帽子到底有多法盲之倒卖漏洞牟利
论当今白帽子到底有多法盲之倒卖漏洞牟利 黑家小无常 诚殷网络 2024-03-10 21:51 15岁入行,到如今27岁,依旧每天都在不断的努力学习网络安全,在学习的途中逐渐补充空白的法律盲区,网络安全行业本身就处于黑白之间,用的好就是一把利剑,用的不好那就危害国家,危害自身。今天我们就来讨论讨论 “一群拥有高学历,高技术的 “白帽子”,到底有多法盲?” 只需要1000元,
继续阅读.NET 反序列化Xunit1Executor漏洞分析
.NET 反序列化Xunit1Executor漏洞分析 专攻.NET安全的 dotNet安全矩阵 2024-03-10 09:21 01 Xunit1Executor漏洞复现 Xunit.Net 是一款 .NET 平台免费开源的单元测试框架,常用于并行测试和数据驱动测试。目前支持 .Net Framework 、 .Net Core 、 .Net Standard 、 UWP 、 Xamarin
继续阅读聊聊漏洞管理那点事儿
聊聊漏洞管理那点事儿 原创 马金龙 安全管理杂谈 2024-03-09 14:01 漏洞一旦被威胁成功利用就可能对资产造成损害,它存在于信息系统、软件、 硬件、协议、人员等各个方面。 漏洞管理也称脆弱性管理(Vulnerability Management),是指安全组织为了减少漏洞被黑客利用的机会,降低资产损害的可能性,对安全漏洞进行识别、验证、评估、处置等一系列措施的管理过程。 漏洞管理流程
继续阅读思科Secure Client VPN劫持漏洞修复
思科Secure Client VPN劫持漏洞修复 THN 知机安全 2024-03-09 10:02 Cisco has released patches to address a high-severity security flaw impacting its Secure Client software that could be exploited by a threat actor t
继续阅读CISA警告:JetBrains TeamCity漏洞被利用
CISA警告:JetBrains TeamCity漏洞被利用 THN 知机安全 2024-03-09 10:02 The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Thursday added a critical security flaw impacting JetBrains TeamCity On-Pre
继续阅读供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞
供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞 原创 悬镜安全情报中心 悬镜安全 2024-03-08 11:32 01 漏洞概况 Winmail 是一款功能丰富的邮件服务器软件,支持 Windows 和 Linux 平台,可适配国产化信创平台,具备SMTP、POP3、IMAP、Webmail、邮件归档、Web管理、邮件网关、防毒杀毒、短信提醒、网络硬盘等功能。 2023年10
继续阅读行业 | 绿盟科技中标重要项目 助力云南移动漏洞管理平台建设
行业 | 绿盟科技中标重要项目 助力云南移动漏洞管理平台建设 中国信息安全 2024-03-07 19:42 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近日,据中国移动发布的“中国移动云南分公司2023年新建漏洞管理平台研发项目漏洞平台”中标结果显示,绿盟科技以综合排名第一(196.63万元)成功中标。 网络安全领域漏洞管理始终是企业脆弱性风险管控的核心。
继续阅读CVE-2024-27198:JetBrains TeamCity 身份验证绕过漏洞通告
CVE-2024-27198:JetBrains TeamCity 身份验证绕过漏洞通告 原创 360CERT 三六零CERT 2024-03-06 18:13 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-729 报告来源:360CERT 报告作者:360CERT 更新日期:2024-03-06 1 漏洞简述 2024年03月06日,360CERT监测发现JetBrains发布
继续阅读【漏洞通告】JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)
【漏洞通告】JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198) 常行安服团队 常行科技 2024-03-05 20:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 JetBrains TeamCity是一款由JetBrains开发的持续集成和持续交付(CI/CD)服务器。它提供了一个功能强大的平台,用于自动化构建、测试和部署软件项目。TeamCity旨在简
继续阅读更新第六章:代码审计之实战查找微软内核模块漏洞-0day2期欢迎报名
更新第六章:代码审计之实战查找微软内核模块漏洞-0day2期欢迎报名 看雪课程 看雪学苑 2024-03-05 17:59 通知:录播课更新- 6.1 实战挖掘内核漏洞 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学
继续阅读近日更新:命令/代码执行(二)Bypass技巧—CTF训练营之Web篇
近日更新:命令/代码执行(二)Bypass技巧—CTF训练营之Web篇 看雪课程 看雪学苑 2024-03-03 17:59 近日更新 欢迎来到 《CTF训练营-Web篇》 ! 随着互联网的普及与发展,网络安全也越发成为人们关注的焦点。 而在网络安全中,Web安全无疑是其中的一个重点领域。 该课程以CTF比赛中的Web安全为核心,包含了丰富的Web安全攻击和防御知识,帮助学员了解常见的网络攻击方式
继续阅读FreeBuf 周报 | 新WiFi漏洞或影响23亿用户;NIST发布网络安全框架2.0版本
FreeBuf 周报 | 新WiFi漏洞或影响23亿用户;NIST发布网络安全框架2.0版本 小王斯基 FreeBuf 2024-03-02 09:30 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. SendGrid 最新网络钓鱼活动正在“瞄准”中小型企业 卡巴斯基的网络安
继续阅读.NET 某开源组件反序列化漏洞
.NET 某开源组件反序列化漏洞 dotNet安全矩阵 2024-03-02 08:25 02 欢迎加入我们的知识库 为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。 只需199元就可以加入我
继续阅读还在学怎么挖通用漏洞吗?一天打10个~
还在学怎么挖通用漏洞吗?一天打10个~ 不秃头的安全 不秃头的安全 2024-03-02 00:00 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。 还在学怎么挖通用漏洞吗?快来加入星球~下方有优惠卷 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 一、最近好多公众号私信,觉得qq群不方便,需要vx群,甚至很多人加上
继续阅读CVE-2024-25065:Apache OFBiz目录遍历漏洞通告
CVE-2024-25065:Apache OFBiz目录遍历漏洞通告 原创 360CERT 三六零CERT 2024-03-01 18:01 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-719 报告来源:360CERT 报告作者:360CERT 更新日期:2024-03-01 1 漏洞简述 2024年03月01日,360CERT监测发现Apache发布了OFBiz的风险通告,
继续阅读Web安全之Nginx常见漏洞解析
Web安全之Nginx常见漏洞解析 学习网络安全到 开源聚合网络空间安全研究院 2024-03-01 17:20 网 安 教 育 培 养 网 络 安 全 人 才 技 术 交 流 、 学 习 咨 询 什么是中间件?什么是中间件漏洞? 中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。但是在开发使用
继续阅读荐读丨企业安全态势的七大常见漏洞
荐读丨企业安全态势的七大常见漏洞 工业安全产业联盟平台 2024-03-01 17:13 网络安全是一场跌宕起伏,永无止境的拉锯战。攻击者的技术和手法不断花样翻新,主打一个 “避实就虚” 和 “出奇制胜”;防御者的策略则强调 “求之于势,不责于人”,依靠整体安全态势和风险策略的成熟度和韧性来化解风险。 此外,经常被忽视的一点是,基础安全策略和实践同样重要。根据微软 2023 年数字防御风险报告,良
继续阅读