.NET 序列化生成 JavaScriptSerializer Poc
.NET 序列化生成 JavaScriptSerializer Poc 专攻.NET安全的 dotNet安全矩阵 2023-08-30 08:40 0x01 现状 dot.NET安全矩阵星球群 有位师傅问起如何才能生成和ysoserial一样的JavaScriptSerializer序列化poc, 同Json.NET一样序列化使用了ObjectDataProvider类,ObjectInstanc
继续阅读标签: 行业
CVE-2023-36874:Windows 错误报告服务权限提升漏洞通告
CVE-2023-36874:Windows 错误报告服务权限提升漏洞通告 原创 360CERT 三六零CERT 2023-08-28 16:26 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-370 报告来源:360CERT 报告作者:360CERT 更新日期:2023-08-28 1 漏洞简述 2023年08月28日,360CERT监测发现Microsoft发布了Window
继续阅读CVE-2023-38831:RARLAB WinRAR代码执行漏洞通告
CVE-2023-38831:RARLAB WinRAR代码执行漏洞通告 原创 360CERT 三六零CERT 2023-08-28 16:26 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-369 报告来源:360CERT 报告作者:360CERT 更新日期:2023-08-28 1 漏洞简述 2023年08月28日,360CERT监测发现RARLAB发布了WinRAR的风险通
继续阅读预售满10人开班!系统0day安全-Windows平台漏洞挖掘
预售满10人开班!系统0day安全-Windows平台漏洞挖掘 釉子 看雪学苑 2023-08-23 18:03 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问题的认
继续阅读软件漏洞检测场景中的深度学习模型实证研究
软件漏洞检测场景中的深度学习模型实证研究 海云安 安全牛 2023-08-23 12:23 近年来,深度学习模型(DLM)在软件漏洞检测领域的应用探索引起了行业广泛关注,在某些情况下,利用DLM模型能够获得超越传统静态分析工具的检测效果。然而,虽然研究人员对DLM模型的价值预测让人惊叹,但很多人对这些模型本身的特性并不十分清楚。 为了从应用角度对DLM模型在漏洞检测场景下的能力与价值进行验证,St
继续阅读满10人,9月1日开班!系统0day安全-Windows平台漏洞挖掘
满10人,9月1日开班!系统0day安全-Windows平台漏洞挖掘 釉子 看雪学苑 2023-08-19 18:20 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问
继续阅读【安全圈】 MOVEit软件存在安全漏洞,致普华永道泄露8万名用户信息!
【安全圈】 MOVEit软件存在安全漏洞,致普华永道泄露8万名用户信息! 安全圈 2023-08-17 19:00 关键词 数据泄露 8月14日,波多黎各自治区最大的银行——人民银行向缅因州司法部长提交了一份客户信息泄露报告。该报告指出,由于供应商普华永道使用的MOVEit软件存在安全漏洞,导致银行82217名储户的个人信息被泄露。 目前,波多黎各人民银行已经陆续通知了数千名银行用户,向其告知数据
继续阅读.NET CVE-2023-36899绕过IIS身份认证漏洞
.NET CVE-2023-36899绕过IIS身份认证漏洞 专攻.NET安全的 dotNet安全矩阵 2023-08-16 08:40 星球优惠活动 为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直 聚焦于.NET领域的安全攻防技术,定位于 高质量安全攻防星球社区,也 得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质
继续阅读进化中的勒索软件:不断发展的漏洞利用技术和对零日漏洞的积极追求
进化中的勒索软件:不断发展的漏洞利用技术和对零日漏洞的积极追求 关键基础设施安全应急响应中心 2023-08-15 15:40 根据Akamai发布的《互联网状态(SOTI)报告》显示,在不断发展的勒索软件环境中,攻击者正试图突破受害者的防御能力。勒索软件组织正在将他们的攻击技术从网络钓鱼转移到更加强调零日漏洞的滥用。总体而言,漏洞滥用的范围和复杂性都有了很大的增长。 此外,勒索软件组织在勒索和利
继续阅读福特曝WiFi安全漏洞,官方称仍可安全驾驶
福特曝WiFi安全漏洞,官方称仍可安全驾驶 网络安全应急技术国家工程中心 2023-08-15 15:40 据bleepingcomputer消息,福特汽车供应商的安全人员向福特公司报告了一个安全漏洞,漏洞编号 CVE-2023-29468。该漏洞位于汽车信息娱乐系统集成的 WiFi 系统 WL18xx MCP 驱动程序中,允许 WiFi 范围内的攻击者使用特制的帧触发缓冲区溢出。 资料显示,SY
继续阅读15个CODESYS V3 RCE漏洞影响全球工业PLC
15个CODESYS V3 RCE漏洞影响全球工业PLC THN 代码卫士 2023-08-14 17:46 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 CODESYS V3 软件开发包 (SDK) 中存在16个高危漏洞,在特定条件下可导致远程代码执行和拒绝服务后果,从而为运营技术 (OT) 环境带来风险。 IEC 61131-3 标准提到,全球超过500家设备制造商使用 COD
继续阅读预售即将开班!系统0day安全-Windows平台漏洞挖掘
预售即将开班!系统0day安全-Windows平台漏洞挖掘 釉子 看雪学苑 2023-08-11 18:01 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问题的认识和
继续阅读D-Link Go-RT-AC750命令注入漏洞复现
D-Link Go-RT-AC750命令注入漏洞复现 伯爵的信仰 看雪学苑 2023-08-11 18:01 前面的复现都是以CVE编号为主的复现,这次换个方式,以路由器型号为单位进行复现。本次复现的命令注入漏洞都是D-Link Go-RT-AC750中存在的漏洞,目前一共有五个: 在对D-Link Go-RT-AC750命令注入漏洞复现前先了解一些背景知识,主要是CGI和UPnP。 2.1 CG
继续阅读基于风险的漏洞发现和补救措施
基于风险的漏洞发现和补救措施 网络安全应急技术国家工程中心 2023-08-11 15:30 当今时代,软件和系统中的漏洞对企业安全构成了相当大的威胁,因此构建一个高效的漏洞管理计划至关重要。为了在违规行为发生之前就采取主动措施来减少潜在的损失,关键就是要根据漏洞的危险程度来对漏洞查找以及修复过程进行自动化操作。数世咨询将讨论实施基于风险的漏洞管理以及将其自动化的基本方法和工具。为了简化该过程,建
继续阅读美国政府发起超亿元奖金挑战赛,悬赏能挖漏洞的下一代AI
美国政府发起超亿元奖金挑战赛,悬赏能挖漏洞的下一代AI 安全内参编译 安全内参 2023-08-10 16:01 关注我们 带你读懂网络安全 拜登政府期望寻找下一代AI技术,可以快速识别和修复关键软件的漏洞,并能应用在联邦政府和关键基础设施上。 前情回顾·美国新技术监管 – 全球最大规模AI黑客大赛将开启:白宫支持 针对大模型安全 美国发射首颗靶场卫星,将举办首场真实环境太空黑客大赛
继续阅读【漏洞预警】通达OA SQL注入漏洞威胁通告
【漏洞预警】通达OA SQL注入漏洞威胁通告 安识科技 SecPulse安全脉搏 2023-08-10 09:59 1. 通告信息 近日,安识科技 A-Team团队监测到通达OA存在两个SQL注入漏洞(CVE-2023-4165和CVE-2023-4166),CVSSv3评分均为5.5,目前这些漏洞的PoC已公开。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受
继续阅读2023-08 补丁日: 微软多个漏洞安全更新通告
2023-08 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2023-08-09 16:38 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-334 报告来源:360CERT 报告作者:360CERT 更新日期:2023-08-09 1 漏洞简述 2023年08月09日,360CERT监测发现Microsoft发布了2023年8月安全更新,事件等级:严
继续阅读航旅业大地震:常旅客积分系统曝严重漏洞
航旅业大地震:常旅客积分系统曝严重漏洞 网络安全应急技术国家工程中心 2023-08-09 15:18 黑客可利用常旅客系统漏洞窃取客户隐私数据和积分,甚至控制整个系统给任何人授予无限飞行里程或酒店住宿积分。 Points.com是全球航空公司和酒店常旅客积分计划的主要数字基础设施提供商之一。近日,安全研究人员发现Points.com的API中存在可利用漏洞,攻击者可利用这些漏洞泄漏客户数据、窃取
继续阅读上周关注度较高的产品安全漏洞(20230731-20230806)
上周关注度较高的产品安全漏洞(20230731-20230806) 国家互联网应急中心CNCERT 2023-08-08 16:03 一、境外厂商产品漏洞 1、Siemens SIMATIC CN 4100默认权限不正确漏洞 Siemens SIMATIC CN 4100是德国西门子(Siemens)公司的一个通信节点。Siemens SIMATIC CN 4100 2.5版本之前存在安全漏洞,该
继续阅读腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-08-07 10:15 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年7月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读“卫星安全”背后的秘密:软件和固件均存在漏洞,几乎是“裸奔”状态
“卫星安全”背后的秘密:软件和固件均存在漏洞,几乎是“裸奔”状态 原创 nana 数世咨询 2023-08-03 16:00 ESTCube-2小卫星。德国研究人员分析了三颗卫星的安全状况,包括ESTCube-2的前身。 距地面几百上千公里的高空,数千颗人造卫星围绕地球运行,维持世界正常运转。时间系统、全球定位系统(GPS),以及各种通信技术,全都由卫星提供支持。但多年来, 安全研究人员不断发出警
继续阅读QNAP 多个高危漏洞通告
QNAP 多个高危漏洞通告 原创 360CERT 三六零CERT 2023-08-01 16:30 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-317 报告来源:360CERT 报告作者:360CERT 更新日期:2023-08-01 1 漏洞简述 2023年08月01日,360CERT监测发现QNAP发布了QVPN Device Client for Window,QTS的风
继续阅读KCon演讲议题巡展|AI对于代码审计和漏洞挖掘的作用
KCon演讲议题巡展|AI对于代码审计和漏洞挖掘的作用 俍梁 KCon 黑客大会 2023-07-31 11:45 “归源·智变” 2023年KCon黑客大会 举办时间:2023年8月19日-20日 举办地点:北京环球贸易中心·会议中心 KCon 2023 演讲议程已尘埃落定 为展示演讲议题风采 帮助大家更好地了解议题 特此开展 KCon 2023演讲议题巡展活动 欢迎朋友们围观 议题展示顺序以议
继续阅读【安全圈】全球紧急服务通信协议曝出五个零日漏洞
【安全圈】全球紧急服务通信协议曝出五个零日漏洞 安全圈 2023-07-30 19:00 关键词 安全漏洞 研究人员近日发现,全球紧急服务使用的一种无线电通信协议存在几个严重漏洞,可能会让不法分子得以监视或操纵传输的信息。 地面集群无线电(TETRA)是一种无线电语音和数据标准,主要用于紧急服务(比如警察、消防和军队)以及一些工业环境。 多个TETRA安全通道提供密钥管理、语音和数据加密,而TET
继续阅读.NET ViewState反序列化 (十三) ViewState RCE
.NET ViewState反序列化 (十三) ViewState RCE 专攻.NET安全的 dotNet安全矩阵 2023-07-30 09:30 星球优惠活动 为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直 聚焦于.NET领域的安全攻防技术,定位于 高质量安全攻防星球社区,也 得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.
继续阅读谷歌发布2022年在野利用0day年度回顾报告
谷歌发布2022年在野利用0day年度回顾报告 Maddie Stone 代码卫士 2023-07-28 18:20 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 谷歌在博客发布2022年已遭利用 0day 的年度回顾报告,这是自2019年以来发布的第四期报告。文章提到,回顾的目的并非详述每个利用,而是从一整年的角度分析这些利用,寻求相关趋势、差距、经验和教训。本文是对报告的摘译。
继续阅读发力车联网漏洞治理,360提升车联网安全防护能力
发力车联网漏洞治理,360提升车联网安全防护能力 360漏洞云 2023-07-28 17:39 7月25日,由中汽数据有限公司主办的车联网产品安全漏洞专业库(CAVD)年中总结会、2023车联网网络安全演练启动会和2023年车联网漏洞分析专家工作组全体会议等系列会议在天津顺利召开。 工业和信息化部网络安全管理局相关领导、天津市通信管理局网络安全处处长沈伟明、中汽数据总经理冯屹、中汽数据副总经理杜
继续阅读奖金累加上不封顶!BSRC启动首次隐私安全漏洞众测
奖金累加上不封顶!BSRC启动首次隐私安全漏洞众测 百度安全应急响应中心 2023-07-28 15:17 来了!BSRC启动首次隐私安全漏洞众测~ 随着个人信息滥用事件的频频发生,用户对App是否合法收集信息越来越关注。同时,监管也对App收集使用个人信息发布了认定办法。 面对互联网隐私安全问题挑战,百度安全团队肩负使命与责任,始终将保护用户隐私信息放在第一位, 努力创造一个不断完善的个人信息保
继续阅读云安全漏洞管理的原则与实践
云安全漏洞管理的原则与实践 安全牛 2023-07-28 12:35 当企业组织将关键业务上云后,加强云安全防护就成为企业管理者们的重要优先事项。一旦云上的应用存在安全漏洞,那么数据泄露、业务中断、勒索威胁等灾难性事件随时都可能发生。研究数据显示,在78%的云上攻击活动中,攻击者会将已知漏洞作为初始路径。因此,定期评估云环境的风险态势并加强云安全漏洞管理,将是保障组织云应用安全的最有效途径之一。
继续阅读TETRA:BURST:热门无线通信系统中存在5个新漏洞
TETRA:BURST:热门无线通信系统中存在5个新漏洞 THN 代码卫士 2023-07-27 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 政府实体和关基行业广为使用的无线电通信陆地集群无线电 (TETRA) 标准中存在5个漏洞,其中包含被认为是故意预留的后门,可泄露敏感信息。 这些漏洞由荷兰公司 Midnight Blue在2021年发现但一直到现在才发布,它们被
继续阅读