标签: 访问控制

【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞

【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞 云弈安全 2024-05-17 18:01 01 漏洞信息 瑞友天翼应用虑拟化系统是基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。 近日,云

继续阅读

价值60亿元的艺术品拍卖活动因网络攻击延期;CNNVD通报微软多个安全漏洞 | 牛览

价值60亿元的艺术品拍卖活动因网络攻击延期;CNNVD通报微软多个安全漏洞 | 牛览 安全牛 2024-05-17 12:02 点击蓝字·关注我们  /  aqniu 新闻速览 ㆍ国家网信办发布第十五批境内区块链信息服务备案清单 ㆍCNNVD通报微软多个安全漏洞 ㆍAndroid 和iOS将在新版本中引入反跟踪功能 ㆍ美国联邦首席安全官Chris DeRusha将离职,曾参与多项政府行政命令的制定

继续阅读

卡巴斯基:2024年Q1漏洞和利用报告

卡巴斯基:2024年Q1漏洞和利用报告 原创 晶颜123 FreeBuf播客电台 2024-05-13 17:39 作者 | 晶颜123 编 | 疯狂冰淇淋 近日,卡巴斯基发布了《2024年Q1漏洞和利用报告》,提供了一系列有洞察力的统计和分析快照,揭示了新漏洞和利用的发展趋势,以及攻击者最常利用的漏洞概述。为组织获悉和应对相关威胁提供了有价值的见解。 | 已注册漏洞统计数据**** | 为了便于

继续阅读

雷神众测漏洞周报2024.05.06-2024.05.12

雷神众测漏洞周报2024.05.06-2024.05.12 原创 雷神众测 雷神众测 2024-05-13 15:30 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任

继续阅读

【原创0day】瑞友天翼应用虚拟化系统SQL注入致远程代码执行漏洞

【原创0day】瑞友天翼应用虚拟化系统SQL注入致远程代码执行漏洞 长亭应急 黑伞安全 2024-05-10 22:59 瑞友天翼应用虚拟化系统(以下简称瑞友虚拟化系统)是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协

继续阅读

【已复现】瑞友天翼应用虚拟化系统SQL注入致远程代码执行漏洞

【已复现】瑞友天翼应用虚拟化系统SQL注入致远程代码执行漏洞 长亭应急 黑伞安全 2024-05-10 22:59 关于上一篇瑞友天翼虚拟化系统SQL注入致远程代码执行漏洞通告影响版本的补充说明:5月6日,长亭科技从瑞友天翼官网下载的7.0.5.1版本安装包已修复相关漏洞。然而由于不明原因,官方随后撤回了包含修复代码的安装包,导致当前官网上的7.0.5.1版本安装包仍旧存在该漏洞。我们建议用户采用

继续阅读

多个三星移动设备漏洞可让攻击者执行任意代码

多个三星移动设备漏洞可让攻击者执行任意代码 网络安全应急技术国家工程中心 2024-05-10 14:59 在最新网络安全更新中,三星宣布修补了其移动设备中的 25 个漏洞,旨在增强其抵御潜在的代码执行和权限升级攻击的能力。 这是三星持续增强智能手机和平板电脑安全性的一部分举措,以此确保用户的安全和隐私。 这些漏洞被确定为三星漏洞和暴露(SVE)项目。这些缺陷涉及三星设备的各个组件,包括操作系统、

继续阅读

CISA、FBI要求消除路径遍历漏洞影响

CISA、FBI要求消除路径遍历漏洞影响 何威风 河南等级保护测评 2024-05-08 00:00 美国网络安全机构 CISA 和 FBI 周四发布了安全设计警报,警告路径遍历软件漏洞被利用来针对关键基础设施实体进行攻击。 路径遍历缺陷也称为目录遍历,它依赖于受操纵的用户输入来访问不应访问的应用程序文件和目录。成功利用该漏洞允许威胁行为者操纵任意文件、读取敏感数据,并可能完全破坏系统。 路径遍历

继续阅读

如何使用resource-counter统计跨Amazon区域的不同类型资源数量

如何使用resource-counter统计跨Amazon区域的不同类型资源数量 Alpha_h4ck FreeBuf 2024-05-06 19:01 关于resource-counter resource-counter是一款功能强大的命令行工具,该工具基于纯Python 3开发,可以帮助广大研究人员跨Amazon区域统计不同类型资源的数量。 该工具在统计完不同区域的各类资源数量后,可以在命令

继续阅读

安全热点周报:本周新增两个在野利用漏洞,成功利用可导致供应链攻击

安全热点周报:本周新增两个在野利用漏洞,成功利用可导致供应链攻击 奇安信 CERT 2024-05-06 17:50 安全资讯导视  • 美国总统拜登签署《关于关键基础设施安全和弹性的国家安全备忘录》 • 两部门印发《数字经济2024年工作要点》 • 伦敦证交所客户核查数据库遭泄露,内含超520万条敏感个人信息 PART01 新增在野利用 1.GitLab密码重置漏洞(CVE-2023-7028)

继续阅读

Moriarty 旨在枚举缺失的 KB、检测各种漏洞并建议 Windows 环境中的权限升级的潜在漏洞

Moriarty 旨在枚举缺失的 KB、检测各种漏洞并建议 Windows 环境中的权限升级的潜在漏洞 Ots安全 2024-05-01 17:59 Moriarty Moriarty 是一个综合性的 .NET 工具,它扩展了Watson和Sherlock的功能,最初由@_RastaMouse开发。它旨在枚举缺失的 KB、检测各种漏洞并建议 Windows 环境中的权限升级的潜在漏洞。Moriar

继续阅读

app漏洞产生知识

app漏洞产生知识 原创 yyyyyk 渗透测试知识学习 2024-04-28 19:30 应用漏洞挖掘思维主要涉及对应用程序安全性和稳定性的深入理解。以下是一些关键的挖掘思维:了解应用程序的功能和逻辑:在开始挖掘漏洞之前,需要对应用程序的功能和逻辑有深入的了解。 这包括应用程序如何处理用户输入、数据存储、网络通信等。寻找可能的入口点:入口点是攻击者可以用来攻击应用程序的地方。这可能包括应用程序界

继续阅读

24年3月必修安全漏洞清单|腾讯安全威胁情报中心

24年3月必修安全漏洞清单|腾讯安全威胁情报中心 腾讯威胁情报中心 腾讯安全威胁情报中心 2024-04-24 15:17 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合

继续阅读

腾讯安全威胁情报中心推出2024年3月必修安全漏洞清单

腾讯安全威胁情报中心推出2024年3月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2024-04-24 14:38 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞

继续阅读

【漏洞通告】IP-guard WebServer权限绕过漏洞

【漏洞通告】IP-guard WebServer权限绕过漏洞 安迈信科应急响应中心 2024-04-22 17:16 01 漏洞概况       IP-guard WebServer存在权限绕过漏洞,该漏洞是由于IP-guard访问控制不当导致,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过权限校验,进而访问后台接口执行任意文件读取等操作,最终造成服务器敏感性信息泄露。02 漏洞处置综合处置

继续阅读

漏洞修复时如何确保业务不受影响?| 总第242周

漏洞修复时如何确保业务不受影响?| 总第242周 原创 群秘 君哥的体历 2024-04-22 07:36 ‍‍ ‍‍ 0x1本周话题 话题:漏洞修复时,怎么最大程度确保不产生对业务的影响? A1:只要动生产就要遵循变更流程,漏洞修复和日常的投产变更要求是一样的,都需要做好回归测试。本质都是变更,做好最坏影响分析,如果不接受“万一失败就断业务维修时间”的风险,那备机就备好,失败就切回,成功就继续灰

继续阅读

漏洞通告 | IP-guard WebServer权限绕过漏洞

漏洞通告 | IP-guard WebServer权限绕过漏洞 原创 微步情报局 微步在线研究响应中心 2024-04-16 11:51 漏洞概况 IP-guard是由广州市溢信科技股份有限公司开发的一款终端安全管理软件,旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。 微步漏洞团队通过“X 漏洞奖励计划”获取到IP-guard WebServer权限绕过漏洞情报。由于访问

继续阅读

【安全圈】黑客成功利用0day漏洞对Palo Alto Networks的防火墙进行后面攻击

【安全圈】黑客成功利用0day漏洞对Palo Alto Networks的防火墙进行后面攻击 安全圈 2024-04-15 19:01 关键词 安全漏洞 Volexity安全研究人员发出警告:疑似国家背景的不明黑客组织已成功利用 Palo Alto Networks 防火墙中的0day漏洞已有两周多的时间。 Palo Alto Networks上周五披露了该漏洞,并警告称已发现有限的野外利用情况,

继续阅读

不明黑客利用0day漏洞对 Palo Alto Networks 防火墙进行后门攻击

不明黑客利用0day漏洞对 Palo Alto Networks 防火墙进行后门攻击 会杀毒的单反狗 军哥网络安全读报 2024-04-13 09:00 导读 Volexity 安全研究人员警告说,疑似国家背景的不明黑客组织已成功利用 Palo Alto Networks 防火墙中的 0day 漏洞已有两周多的时间。 Palo Alto Networks于周五披露了该漏洞( https://sec

继续阅读

智能合约web3.0都有哪些漏洞

智能合约web3.0都有哪些漏洞 原创 Fighter001 重生者安全 2024-04-13 08:46 由于微信公众号推送机制的改变避免错过文章麻烦您将公众号 设为星标 感谢您的支持! 想要学习:【 漏洞挖掘,内网渗透OSCP,车联网,二进制】的朋友欢迎加入知识星球一起学习。如果不满意,72小时内可在APP内无条件自助退款。 –>进入正题啦 智能合约漏洞名,下面分为英文和翻译

继续阅读

信息安全漏洞周报(2024年第15期)

信息安全漏洞周报(2024年第15期) CNNVD CNNVD安全动态 2024-04-10 17:27 点击蓝字 关注我们 根据国家信息安全漏 洞库(CNNVD)统计,本周(2024年4月1日至2024年4月7日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞763个。 接报漏洞情况 本周CNNVD接报漏洞5417个,其中信息技术产品漏洞(通用型漏洞)203个,网络信息系统漏洞(事

继续阅读

思科IOS 漏洞可导致未认证的远程DoS 攻击

思科IOS 漏洞可导致未认证的远程DoS 攻击 Becky Bracken 代码卫士 2024-04-01 17:42 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科为旗舰款 IOS 和 IOS XE 操作系统软件发布安全更新,为Access Point 软件发布补丁。 思科发布 Cisco IOS 发布14个漏洞安全更新,其中14个漏洞是拒绝服务漏洞,可导致系统崩溃、异常重新加载以及

继续阅读

【漏洞通告】Adobe ColdFusion 访问控制错误漏洞

【漏洞通告】Adobe ColdFusion 访问控制错误漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况       ColdFusion版本2023.6、2021.12及更早版本受到不当访问控制漏洞的影响,该漏洞可能导致任意文件系统读取。攻击者可以利用此漏洞绕过安全措施,获得对敏感文件的未经授权的访问权限,并执行任意文件系统写入。利用此问题不需要用

继续阅读

10 大 Web 应用程序漏洞

10 大 Web 应用程序漏洞 点击关注👉 马哥网络安全 2024-03-28 12:01 为了帮助公司应对 Web 应用程序漏洞并保护自己的 Web 应用程序,开放 Web 应用程序安全项目 (OWASP) 在线社区创建了 OWASP 前十排行榜。当我们跟踪他们的排名时,我们注意到我们对主要漏洞的排名方式有所不同。出于好奇,我们决定找出差异到底有多大。这就是为什么我们建立了自己的排名,该排名反映

继续阅读