物联网安全3.物联网10大安全漏洞
物联网安全3.物联网10大安全漏洞 W-haidragon 安全狗的自我修养 2023-10-09 18:35 物联网安全-物联网介绍及其架构 物联网安全-2.物联网攻击面 如果您还没有阅读我们的 IoT 安全博客系列的第 1 部分 和第 2 部分 ,我建议您先阅读它们,除非您已经熟悉基础知识并且只想阅读 IoT 十大漏洞。 说到十大漏洞,我们首先想到的是OWASP。为什么不呢,毕竟他们是定义 W
继续阅读标签: 访问控制
信息安全漏洞周报(2023年第39期)
信息安全漏洞周报(2023年第39期) CNNVD CNNVD安全动态 2023-10-09 17:20 点击蓝字 关注我们 根据国家信息安全漏洞库(CNNVD)统计,本周(2023年9月25日至2023年10月1日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞577个。 接报漏洞情况 本周CNNVD接报漏洞4329个,其中信息技术产品漏洞(通用型漏洞)138个,网络信息系统漏洞(
继续阅读即将被零信任取代?企业VPN屡屡曝安全漏洞
即将被零信任取代?企业VPN屡屡曝安全漏洞 网络安全应急技术国家工程中心 2023-09-19 15:05 你在日常工作生活中,是否曾使用过VPN?它或许曾帮助你轻松访问了一些突破地理限制的内容。但你知道吗?在使用的过程中,你很可能早已将自己的隐私暴露于“危险”之中。 随着互联网的普及和信息安全的关注,VPN早已成为许多人保护在线隐私和安全的首选工具。然而,尽管VPN被广泛认可为一种安全性较高的上
继续阅读漏洞通告|JumpServer未授权访问漏洞
漏洞通告|JumpServer未授权访问漏洞 原创 微步情报局 微步在线研究响应中心 2023-09-19 15:02 01 漏洞概况**** JumpServer 是一款开源的堡垒机和权限管理系统,旨在帮助企业实现对服务器和网络设备的安全管理和 访问控制。 近日,微步漏洞团队监测到JumpServer未授权访问漏洞情报(CVE-2023-42442)。JumpServer的权限管理存在缺陷,未经
继续阅读进化中的勒索软件:不断发展的漏洞利用技术和对零日漏洞的积极追求
进化中的勒索软件:不断发展的漏洞利用技术和对零日漏洞的积极追求 关键基础设施安全应急响应中心 2023-08-15 15:40 根据Akamai发布的《互联网状态(SOTI)报告》显示,在不断发展的勒索软件环境中,攻击者正试图突破受害者的防御能力。勒索软件组织正在将他们的攻击技术从网络钓鱼转移到更加强调零日漏洞的滥用。总体而言,漏洞滥用的范围和复杂性都有了很大的增长。 此外,勒索软件组织在勒索和利
继续阅读GraphQL API 漏洞
GraphQL API 漏洞 枇杷五星加强版 黑伞安全 2023-08-10 20:18 GraphQL 漏洞通常是由于实现和设计缺陷而产生的。 例如,内省功能可能会保持活动状态,使攻击者能够查询 API 以收集有关其架构的信息。 GraphQL 攻击通常采用恶意请求的形式,使攻击者能够获取数据或执行未经授权的操作。 这些攻击可能会产生严重影响,特别是如果用户能够通过操纵查询或执行 CSRF 漏洞
继续阅读漏洞通告|致远OA文件上传漏洞
漏洞通告|致远OA文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2023-08-08 16:58 01 漏洞概况**** 致远OA是一款企业级的办公自动化软件,提供全方位的企业管理解决方案。该软件包括了办公自动化、流程自动化、知识管理、文档管理、协同办公等功能模块,可以帮助企业实现信息化管理、流程优化、人力资源管理、财务管理等方面的需求。微步漏洞团队通过“X漏洞奖励计划”获取到致远OA前台
继续阅读上周关注度较高的产品安全漏洞(20230731-20230806)
上周关注度较高的产品安全漏洞(20230731-20230806) 国家互联网应急中心CNCERT 2023-08-08 16:03 一、境外厂商产品漏洞 1、Siemens SIMATIC CN 4100默认权限不正确漏洞 Siemens SIMATIC CN 4100是德国西门子(Siemens)公司的一个通信节点。Siemens SIMATIC CN 4100 2.5版本之前存在安全漏洞,该
继续阅读被别家CEO狂怼,微软火速且老实地修复了严重漏洞后……回怼
被别家CEO狂怼,微软火速且老实地修复了严重漏洞后……回怼 综合编译 代码卫士 2023-08-08 15:48 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 被 Tenable 公司的 CEO 公开批判“严重不负责任”后,微软修复了位于 Power Platform Custom Connectors 特性中的一个漏洞。该漏洞可导致未认证攻击者访问跨租户应
继续阅读雷神众测漏洞周报2023.07.31-2023.08.06
雷神众测漏洞周报2023.07.31-2023.08.06 原创 雷神众测 雷神众测 2023-08-08 15:03 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读CISA公布了2022年最常被利用的12个漏洞
CISA公布了2022年最常被利用的12个漏洞 看雪学苑 看雪学苑 2023-08-04 17:59 8月3日,美国网络安全与基础设施安全局CISA、国家安全局NSA和联邦调查局FBI,联合五眼联盟的其他各国网络安全机构,公布了2022年最常被利用的top 12漏洞。 这份联合发布的网络安全咨询公告上写道:“2022年,相比最近披露的漏洞,攻击者更倾向于利用较旧的软件漏洞,并针对未打补丁的互联网系
继续阅读【安全圈】Ninja Forms漏洞危机:900,000+站点面临潜在风险
【安全圈】Ninja Forms漏洞危机:900,000+站点面临潜在风险 安全圈 2023-08-02 19:02 关键词 漏洞危机 专家警告说,WordPress的Ninja Forms插件受到多个漏洞的影响(跟踪为CVE-2023-37979、CVE-2023-3 8386和CVE-202-3 8393),黑客可以利用这些漏洞升级权限并窃取敏感数据。 WordPress插件Ninja For
继续阅读美澳提醒注意 web 应用中的访问控制漏洞
美澳提醒注意 web 应用中的访问控制漏洞 Ionut Arghire 代码卫士 2023-08-01 17:51 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 澳大利亚网络安全中心 (ACSC) 、美国网络安全和基础设施安全局 (CISA)和美国国家安全局 (NSA) 联合发布新指南,提醒开发人员、厂商和组织机构注意 web 应用中的访问控制漏洞。 这些访问控制漏洞被称为不安全的
继续阅读【安全圈】WordPress Ninja Forms 又被曝出严重安全漏洞
【安全圈】WordPress Ninja Forms 又被曝出严重安全漏洞 安全圈 2023-07-29 19:00 关键词 窃取数据 Bleeping Computer 网站披露,WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞,攻击者可以通过这些漏洞实现权限提升并窃取用户数据 2023 年 6 月 22 日,Patchstack 的研究人员向插件开发者 Saturda
继续阅读云安全漏洞管理的原则与实践
云安全漏洞管理的原则与实践 安全牛 2023-07-28 12:35 当企业组织将关键业务上云后,加强云安全防护就成为企业管理者们的重要优先事项。一旦云上的应用存在安全漏洞,那么数据泄露、业务中断、勒索威胁等灾难性事件随时都可能发生。研究数据显示,在78%的云上攻击活动中,攻击者会将已知漏洞作为初始路径。因此,定期评估云环境的风险态势并加强云安全漏洞管理,将是保障组织云应用安全的最有效途径之一。
继续阅读上周关注度较高的产品安全漏洞(20230217-20230223)
上周关注度较高的产品安全漏洞(20230217-20230223) 国家互联网应急中心CNCERT 2023-07-25 16:19 一、境外厂商产品漏洞 1、Siemens Tecnomatix Plant Simulation堆栈缓冲区溢出漏洞(CNVD-2023-56535) Siemens Tecnomatix Plant Simulation是德国西门子(Siemens)公司的工控设备,
继续阅读雷神众测漏洞周报2023.07.17-2023.07.23
雷神众测漏洞周报2023.07.17-2023.07.23 原创 雷神众测 雷神众测 2023-07-24 15:47 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Spring Security 身份认证绕过漏洞(CVE-2023-34034)安全风险通告
Spring Security 身份认证绕过漏洞(CVE-2023-34034)安全风险通告 奇安信 CERT 2023-07-20 15:40 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Spring Security 身份认证绕过漏洞 漏洞编号 QVD-2023-16716、CVE-2023-34034 公开时间 2023-07-19 影响对象数量级 十万级 奇安信评级
继续阅读严重的思科 SD-WAN 漏洞可导致信息泄露
严重的思科 SD-WAN 漏洞可导致信息泄露 Ionut Arghire 代码卫士 2023-07-18 17:52 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 思科 SD-WAN vManage 软件中存在一个可远程利用的漏洞 (CVE-2023-20214),可导致未认证攻击者从易受攻击实例中检索信息。 该漏洞的 CVSS 评分为9.1,产生的原因在于 vManage 的 R
继续阅读雷神众测漏洞周报2023.07.10-2023.07.16
雷神众测漏洞周报2023.07.10-2023.07.16 原创 雷神众测 雷神众测 2023-07-17 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读哈佛大学网站存在严重漏洞,易受远程代码执行攻击
哈佛大学网站存在严重漏洞,易受远程代码执行攻击 看雪学苑 看雪学苑 2023-07-13 18:05 据外媒Cybernews报道,世界顶尖学府哈佛大学的一个子域名存在漏洞,使其容易受到远程代码执行(RCE)攻击,攻击者有可能窃取、修改存储在该网站上的数据。 据了解,该漏洞(CVE-2020-2551)是一个严重性得分9.8的WebLogic服务器(由美国软件巨头Oracle开发的基于Java的应
继续阅读工控补丁星期二:西门子、施耐德电气等修复50个漏洞
工控补丁星期二:西门子、施耐德电气等修复50个漏洞 Eduard Kovacs 代码卫士 2023-07-12 17:08 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周二,西门子和施耐德电气公司发布九份安全公告,修复了影响其工业产品的50个漏洞。 西门子 西门子发布五份安全公告,通知客户修复40多个漏洞。 西门子修复了 Simatic CN 4100 通信系统中的一个严重漏洞
继续阅读网络安全漏洞(风险)扫描的12种类型
网络安全漏洞(风险)扫描的12种类型 安全牛 2023-07-10 12:06 漏洞(风险)扫描是保障现代企业数字化转型安全开展过程中一个至关重要的组成部分,可以帮助企业识别数字化系统和应用中的各类安全缺陷。在实际应用时,漏洞扫描的类型需要和它们能够保护的IT环境保持一致。如果充分了解不同类型漏洞扫描技术之间的区别,企业可以提高整体网络安全防御能力,并加固系统以防范潜在威胁。本文收集整理了目前最常
继续阅读路由器漏洞挖掘系列之未授权访问漏洞及常见绕过技巧
路由器漏洞挖掘系列之未授权访问漏洞及常见绕过技巧 原创 B2eFly 山石网科安全技术研究院 2023-07-06 10:38 #01 「 基本介绍 」 未授权访问漏洞是指攻击者利用系统或应用程序中未正确实施访问控制机制的安全弱点,以获取未经授权的数据或功能权限。这种漏洞可以被黑客利用来窃取敏感信息、篡改数据或执行未经授权的操作。 通常,未授权访问漏洞的原因包括: 1. 系统或应用程序的访问
继续阅读雷神众测漏洞周报2023.06.26-2023.07.02
雷神众测漏洞周报2023.06.26-2023.07.02 原创 雷神众测 雷神众测 2023-07-03 16:48 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读CVE-2023-33299:FortiNAC 反序列化漏洞通告
CVE-2023-33299:FortiNAC 反序列化漏洞通告 原创 360CERT 三六零CERT 2023-06-26 16:46 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-239 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-26 1 漏洞简述 2023年06月26日,360CERT监测发现Fortinet发布了FortiNAC的风险通
继续阅读Fortinet 修复严重的 FortiNAC 远程命令执行漏洞
Fortinet 修复严重的 FortiNAC 远程命令执行漏洞 Bill Toulas 代码卫士 2023-06-25 17:51 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Fortinet 公司更新零信任访问解决方案 FortiNAC,修复可被用于执行代码和命令的严重漏洞CVE-2023-33299。 FortiNAC 可使组织机构管理网络访问策略、获得对设备和用户的可见性
继续阅读本田电子商务平台漏洞暴露客户数据
本田电子商务平台漏洞暴露客户数据 网络安全应急技术国家工程中心 2023-06-15 14:46 安全研究人员伊顿·兹维尔(Eaton Zveare)公开了对本田电动商务平台(用于动力设备、船舶和园艺产品)发现的重大漏洞的具体细节。 该漏洞使得任何人都可以重置任何账户的密码,因此存在未经授权的访问风险。 这位研究人员在今年年初发现了这些安全漏洞和数据泄露问题,并于三月中旬通知了本田公司他的发现。
继续阅读【安全圈】Windows和MacOS平台上发现多个Zoom漏洞,已发布补丁
【安全圈】Windows和MacOS平台上发现多个Zoom漏洞,已发布补丁 安全圈 2023-06-14 19:00 关键词 漏洞 最新的Zoom漏洞列表已经出来了,其中几个漏洞的严重程度非常高。此次发布的补丁针对六个漏洞。 这些漏洞几乎影响了所有的Windows客户端,而有两个是在MacOS平台发现的。它们的严重程度各不相同,有可能被攻击者利用,以获得未经授权的访问、提升权限或破坏数据完整性。
继续阅读漏洞风险提示|Openfire控制台权限绕过漏洞(CVE-2023-32315)
漏洞风险提示|Openfire控制台权限绕过漏洞(CVE-2023-32315) 长亭安全应急响应 黑伞安全 2023-06-14 09:24 Openfire(前身为Wildfire)是一个基于XMPP(Extensible Messaging and Presence Protocol,可扩展消息处理和呈现协议)的开源实时协作服务器,同时提供了Web管理界面。近期,长亭科技监测到Openfir
继续阅读