知识星球 | 安在新榜· 2024企业网安CSO发展调查报告;新增资料:数安平台神兽方阵、网安漏洞态势、云计算安全等 原创 走狗是狗哥 安在 2024-01-21 19:34 诸子云,是由安在发起、组织并运营,以国内网安从业骨干为主体的纯民间社群组织。至今已有北上深等10余分会,认证会员超2000人。 诸子云知识星球,正是以诸子云社群打底,上千名甲方网安业者汇聚,持续输出网安相关话题精编、项目成果
继续阅读.NET 分享ViewState反序列化漏洞个人总结 原创 专攻.NET安全的 dotNet安全矩阵 2024-01-21 08:35 本期继续分享来自dotnet安全矩阵星球一位师傅的个人笔记总结。 01 .NET<=4.5+禁用Mac验证 .NET≤4.5 且没打补丁KB2905247 (ViewState Mac未开启) 同时满足, 实际测试就算小于4.0也是开启了mac验证的( 打
继续阅读【二次更新】Atlassian Confluence Data Center and Server存在远程代码执行漏洞 安恒研究院 安恒信息CERT 2024-01-20 12:02 漏洞概述 漏洞名称 Atlassian Confluence Data Center and Server存在远程代码执行漏洞(CVE-2023-22527) 安恒CERT评级 严重 CVSS3.1评分 10.0 C
继续阅读GB-T 34946-2017 C#语言源代码漏洞测试规范 原创 等保与关保 网络安全等保与关保 2024-01-20 09:00 点击上方蓝色“网络安全等保与关保”,关注公众号,回复“ 34946 ”或“ C#语言源代码漏洞测试规范 ” 获取该标准pdf版资料。 今日分享 标准规范 GB-T 34946-2017 C#语言源代码漏洞测试规范 标准封面 标准简介 C 语言是一种面向对象的、运行于.
继续阅读CVE-2024-0519:Google Chrome V8越界访问漏洞通告 原创 360CERT 三六零CERT 2024-01-17 19:17 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-647 报告来源:360CERT 报告作者:360CERT 更新日期:2024-01-17 1 漏洞简述 2024年01月17日,360CERT监测发现Google发布了Chrome f
继续阅读Citrix 提醒注意已遭利用的两个 NetScaler 0day 漏洞 Sergiu Gatlan 代码卫士 2024-01-17 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周二,Citrix 督促客户立即修复影响 NetScaler ADC 和 Gateway 设备的两个已遭利用 0day 漏洞(CVE-2023-6548和CVE-2023-6549)。 这两
继续阅读上周关注度较高的产品安全漏洞(20240108-20240114) 原创 CNVD CNVD漏洞平台 2024-01-15 17:43 一、境外厂商产品漏洞 1、Siemens Solid Edge缓冲区溢出漏洞(CNVD-2024-01409) Solid Edge是一个软件工具组合,可解决各种产品开发过程:3D设计,仿真,制造和设计管理。Siemens Solid Edge存在缓冲区溢出漏洞,
继续阅读漏洞扫描VS渗透测试 原创 铸盾安全 河南等级保护测评 2024-01-15 00:00 随着网络攻击变得越来越复杂 ,企业需要投资更强大的安全解决方案,例如漏洞评估 和渗透测试 ,以保护其数据、声誉和收入。 漏洞扫描可识别网络系统内的已知漏洞、安全控制的缺乏以及常见的错误配置。渗透测试模拟攻击以利用弱点,以证明网络安全的有效性。主要区别在于,漏洞扫描用于防御性和进攻性网络安全策略,而渗透测试
继续阅读【安全圈】男子利用网络漏洞刷取游戏金币,非法获利413万 安全圈 2024-01-14 19:01 关键词 网络漏洞 互联网时代,网络游戏行业繁荣发展,职业玩家也应运而生。很多玩家把玩游戏获得的金币和装备变卖作为赚钱的一条途径,但利用网络漏洞非法刷取游戏金币的行为则可能涉嫌犯罪。 10月23日,经滨江区检察院提起公诉,被告人徐某犯非法获取计算机信息系统数据罪,判处有期徒刑三年六个月,并处罚金15万
继续阅读【二次更新】Gitlab 任意用户密码重置漏洞(CVE-2023-51467)风险通告 安恒研究院 安恒信息CERT 2024-01-13 16:10 漏洞概述 漏洞名称 Gitlab 存在任意用户密码重置漏洞 安恒CERT评级 1级 CVSS3.1评分 10.0(安恒自评) CVE编号 CVE-2023-7028 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-202312
继续阅读使用AspDotNetWrapper复现反序列化漏洞 专攻.NET安全的 dotNet安全矩阵 2024-01-13 08:35 01 ASPDotNetWrapper >=.NET 4.5用法 AspDotNetWrapper.exe –keypath MachineKeys.txt –encrypteddata FKpYW56MFezy6wDm2/Cdy+c91K
继续阅读.NET 分享两个任意文件下载的漏洞场景 专攻.NET安全的 dotNet安全矩阵 2024-01-07 08:50 0x01 Resonse.TransmitFile .NET为Response对象提供了一个新的方法TransmitFile来解决使Response.BinaryWrite下载超过400mb的文件时导致Aspnet_wp.exe进程回收而无法成功下载的问题。Response.Tra
继续阅读《漏洞战争》修订版说明 原创 riusksk 漏洞战争 2024-01-06 20:38 遥想当年,初次著书时的忐忑,几经放弃又重启的波澜,来回修改时的烦躁,出版后的如释重负……不由深为感慨: 人生有此一番经历足矣! 本书前一版印刷时采用了轻型环保纸,由于纸张颜色偏暗、手感较粗糙,多次被读者误认为是盗版书,因此出版社后来改用常规纸张印刷——这也是网上有人反馈自己买来的书比朋友买的薄许多的原因。这些
继续阅读【漏洞通告】Apache OFBiz 远程代码执行漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-01-03 18:02 01 漏洞概况 Apache OFBiz 存在代码注入漏洞,攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行代码。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Apache OFBiz 远程代码执行漏洞漏洞编号CVE编号CVE-2023-51467
继续阅读(0day)某友CRM系统存在逻辑漏洞(大量资产存在) WebSec 白安全组 2024-01-03 13:59 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! 01
继续阅读【安全圈】微软发布补丁,修复 Win10、Win11 关键漏洞:可安装恶意软件 安全圈 2023-12-31 19:01 关键词 系统漏洞 微软今天发布安全更新,修复了存在于 Win10 、 Win11 系统中的“关键”漏洞,被攻击者利用后, 可以在用户机器上安装恶意软件。 该漏洞存在于 ms-appinstaller 统一资源标识符(URI)方案中,攻击者利用该漏洞,可以绕过常规的安全措施,
继续阅读【安全圈】英伟达:生成式 AI 可有效协助网络安全,寻找漏洞预测黑客攻击 安全圈 2023-12-31 19:01 关键词 数字藏品 利用生成式 AI 协助网络安全的话题近来相当热门,此前微软、谷歌等多家公司已经推出了一系列“专为网络安全优化的 AI 助手”,而英伟达公司信息安全部门负责人 David Reber Jr. 近日发布长文, 提到软件开发者及安全人员应“利用 AI 寻找漏洞、预测攻击”
继续阅读用友NC Cloud soapFormat.ajax接口存在XXE 附POC软件 原创 南风徐来 南风漏洞复现文库 2023-12-26 23:00 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 大家关注一下我的另外一个公众号,这个公众号也
继续阅读【工具发布】2023年100个勒索风险漏洞检测工具 长亭安全应急响应中心 2023-12-26 19:22 近期,长亭安全应急响应中心发布了453个勒索风险漏洞列表。为了帮助大家更好的排查勒索风险漏洞,牧云产线现推出本地检测工具,支持一键检测以下100个高危漏洞(详见附录)。 检测方法 Delection Methods 01 在本地主机上执行以下命令即可扫描: ./chaitin_ranso
继续阅读从供水系统被黑看美国关基网络安全保护体系的漏洞 安全内参编译 安全内参 2023-12-26 16:13 关注我们 带你读懂网络安全 美国反监管环境导致全面网络安全立法遥遥无期,新推行的水务行业网络安全规定也被废除。年底美国多个供水系统遭伊朗网络破坏,利用的正是此前水务网络安全规定要求改进的弱点。受此影响,水务行业开始推动改变。但是,每个关基行业都需要经历一遍同样的遭遇吗? 前情回顾·美国关基网络
继续阅读观点 | 堵住个人信息泄露的漏洞 梅念章 李炏 中国信息安全 2023-12-20 18:48 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近年来,伴随着《中华人民共和国个人信息保护法》的施行,我国不断加强对侵犯公民个人信息违法犯罪活动的打击力度。然而,公民个人信息被非法窃取、售卖等违法行为仍时有发生。笔者认为,基层通讯营业网点作为公民个人办理新号入网、手机
继续阅读「漏洞挖掘实战」PPT来了| 一键领取 原创 干货满满的 字节跳动安全中心 2023-12-19 18:12 12月15日,第12期安全范儿技术沙龙「漏洞挖掘与实战」线上圆满结束!来自字节跳动无恒实验室、字节跳动云安全团队、中孚信息元亨实验室、武汉大学的4位安全专家,通过多维度、多视角的漏洞挖掘实战案例为线上的白帽师傅们带来精彩演讲。 安全范儿技术沙龙由字节跳动安全与风控发起,本次沙龙也得到元亨实
继续阅读未然通讯社:WordPress 插件漏洞影响5万余个网站;80%的泄露数据源自云端 未然实验室 华为安全 2023-12-19 18:02 往期推荐 未然通讯社:HTC Global遭遇勒索攻击;SpyLoan恶意软件Google Play下载量超千万 未然通讯社:即时通信软件Line遭遇数据泄露;国外医疗保健公司二次遭遇勒索攻击 未然通讯社:汽车零部件巨头 AutoZone 遭遇网络攻击;202
继续阅读微软:热门源代码管理平台 Perforce Helix Core Server 中存在RCE漏洞 Bill Toulas 代码卫士 2023-12-19 17:47 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 微软在游戏、政府、军队和技术行业都在使用的源代码管理平台 Perforce Helix Core Server 上发现了四个漏洞,其中一个是严重等级。 微软公司的分析师对该
继续阅读安全验证 | Dubbo CVE-2023-29234 反序列化漏洞分析 原创 云鼎实验室 云鼎实验室 2023-12-18 16:32 漏洞描述 2023年12月15日,Apache 官方发布安全通告,披露了其 Dubbo 存在反序列化漏洞,漏洞编号CVE-2023-29234。 Dubbo 是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,
继续阅读Nuclei脚本:专注于检测WordPress漏洞 网络安全交流圈 青澜安全团队 2023-12-17 11:10 该项目供应丰富、全新的 Nuclei 模板集,专为检测 WordPress 的漏洞设计。这些模板都基于 Wordfence.com 的漏洞报告,构成了对任何需要扫描 WordPress 网站漏洞的人的重要资源。这些易于使用的模板不仅保持最新,还是开源的,允许您自行修改以适应特定需求。
继续阅读Apache告警, Struts 2 开源框架存在严重安全漏洞 小薯条 FreeBuf 2023-12-17 09:01 近日,阿帕奇公司发布安全公告称 Struts 2 开源 Web 应用程序框架存在严重安全漏洞,可能导致远程代码执行。 该漏洞被追踪为 CVE-2023-50164,其根源在于文件上传逻辑,该逻辑可实现未经授权的路径遍历,在这种情况下极易被用来上传恶意文件并执行任意代码。 Sha
继续阅读打响人生第一“有效漏洞”!抛开限制,12月继续全面助力! 38.5 天禧信安 2023-12-16 20:10 补天【人生第一洞】奖励计划继续 活动A 不限权重 不限类型 不限权重,不限漏洞类型 只为见证你成为真正的白帽子 活动说明: 活动报名 10天内可提交漏洞,超时则无法提交 限未在补天提交过有效漏洞的小萌新参与 收录范围:web不限权重,不限等级,不限漏洞类型 此部分奖励由活动结束后一次性发
继续阅读极客公园 2023 年度「中国创新力量 50 榜单(InnoForce 50)」发布 极客公园 极客公园 2023-12-16 14:00 排序按照拼音/英文首字母顺序 作为中国最大的创新者社区,极客公园过去 14 年来一直与中国一代代技术商业浪潮中的创新者在一起成长。 自 2011 年 1 月「中国创新产品评选(InnoAwards)」首次发布以来,极客公园一直在用年度产品评选的方式去见证每一年
继续阅读