数据安全技术:安全运营的新质势能
数据安全技术:安全运营的新质势能 原创 数据安全官 网安培训 2025-06-10 09:31 在数字化转型浪潮中,数据已成为组织的核心资产,且组织的运营高度依赖数据的流畅流转与精准应用。然而,数据泄露、篡改、恶意攻击等安全威胁如影随形,时刻威胁着组织的生存与发展根基。 数据安全技术无疑是组织构建稳固安全运营体系的核心。 01 数据安全在安全运营中的应用 加密技术:数据的隐形护盾 加密技术作为数据
继续阅读标签: 越权访问
赏金SRC 某开源社区存在水平越权漏洞
赏金SRC 某开源社区存在水平越权漏洞 原创 天启互联网工作室 天启互联网实验室 2025-06-09 13:44 用户A的ID:xxx625A 用户B的ID:xxx883A 点击头像的>功能点 查看个人信息功能点同时抓包的: 抓到数据包如下,看到customerCode参数为用户A的ID: 将数据包发送到重放器: 点击发送,可以看到用户A的个人信息,用户昵称、城市、省份、身份类型、客户编号
继续阅读记一次实战日穿整个系统getshell-共九个漏洞
记一次实战日穿整个系统getshell-共九个漏洞 原创 猎洞时刻 猎洞时刻 2025-06-09 12:12 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑
继续阅读网络安全攻防:别再傻傻地等漏洞,主动出击,从JS里挖金矿!
网络安全攻防:别再傻傻地等漏洞,主动出击,从JS里挖金矿! 龙哥网络安全 龙哥网络安全 2025-06-09 07:30 作者:奇安信攻防社区(中铁13层打工人?也许是深藏不露的扫地僧!) 原文链接?太规矩了!直接搜标题,找不到算我输! 还在对着WAF日志发呆?还在指望扫描器给你惊喜?醒醒吧!真正的网络安全,是主动出击,是抽丝剥茧,是从看似平静的前端代码里,挖掘出足以撼动整个系统的漏洞!今天,咱们
继续阅读突破常规!文件上传漏洞的6大隐蔽攻击面(多个高危场景剖析)|挖洞技巧
突破常规!文件上传漏洞的6大隐蔽攻击面(多个高危场景剖析)|挖洞技巧 黑白之道 2025-06-09 01:54 0x01 前言 本文系统梳理文件上传相关漏洞挖掘思路,从下载、读取、上传到导出,覆盖各类攻击场景,帮助安全研究者快速定位并利用这些漏洞,包括任意文件读取、路径穿越、XXE等高危场景,并提供实用的测试方法和绕过技巧。 参考文章: https://xz.aliyun.com/news/18
继续阅读云安全 – k8s ingress漏洞进一步探索引发的源码层面的文件漏洞利用特性分析(golang、java、php)
云安全 – k8s ingress漏洞进一步探索引发的源码层面的文件漏洞利用特性分析(golang、java、php) 原创 lufeisec lufeisec 2025-06-09 00:00 一、前言 之前讨论过IngressNightmare,但是需要利用起来并不是那么成功,需要猜对应的nginx进程的fd,能否有一个更好用的PoC呢? IngressNightmare可以查看之
继续阅读文件上传操作漏洞场景挖掘思路
文件上传操作漏洞场景挖掘思路 富贵安全 2025-06-09 00:00 下载读取 文件可疑ID遍历/注入 下载接口出现铭感信息的(自己独有的东西)有用户的汇集的地方就很可能存在漏洞 出现数字 ID 遍历,越权下载其他人文件, GET“POST 皆切换尝试,利用 IDOR 越权,但是有鉴权字段就无效了 userId=19230239023923232 NickName =2321932
继续阅读漏洞预警 | DataEase身份认证绕过和远程代码执行漏洞
漏洞预警 | DataEase身份认证绕过和远程代码执行漏洞 浅安 浅安安全 2025-06-08 23:50 0x00 漏洞编号 – CVE-2025-49001 CVE-2025-49002 0x01 危险等级 – 高危 0x02 漏洞概述 DataEase是一款开源的数据可视化分析工具。 0x03 漏洞详情 CVE-2025-49002 漏洞类型: 身份认证绕过 影响
继续阅读LazyHunter:自动漏洞扫描的工具
LazyHunter:自动漏洞扫描的工具 原创 白帽学子 白帽学子 2025-06-08 00:11 之前hvv演练那阵子,咱们团队天天跟甲方资产清单较劲。你懂的,那些动不动就上万IP的扫描任务,光是端口服务识别就得折腾大半天。上周测试新工具的时候,LazyHunter倒是给我省了不少事。 记得上个月给某金融客户做安全加固,他们给的资产列表里混杂着测试环境和生产环境。用这工具批量导入IP段后,Sh
继续阅读警惕!你的 API 正在 “裸奔”?Swagger 安全漏洞攻防实战全解析!
警惕!你的 API 正在 “裸奔”?Swagger 安全漏洞攻防实战全解析! 原创 蒸梅狸猫 东方隐侠安全团队 2025-06-06 07:59 网安知识分享 DFYX’s KNOWLEDGE & NEWS 科普知识 一起成长 东方隐侠·集智堂 引言 在前后端分离开发盛行的今天,Swagger 作为 API 文档神器,帮助开发者高效调试接口、生成文档。但你知道吗
继续阅读企业内部安全漏洞修复流程的建立与思考(其三)
企业内部安全漏洞修复流程的建立与思考(其三) 云下信安 2025-06-06 04:11 最近因为护网的工作原因比较忙,再加上一些其他事情,更新下来了,现在忙里偷闲,继续针对漏洞的事情,进行分享。 3.漏洞修复具体方案 3.1补丁修复 笔者这里主要接触到的漏洞修复方案主要是涉及补丁修复、代码修复和提高相关网络措施或其他进行调整。(组件替代和系统关停、下线笔者这里认为偏向于业务侧或监管侧,并非是漏洞
继续阅读漏洞预警 | Elber身份认证绕过漏洞
漏洞预警 | Elber身份认证绕过漏洞 浅安 浅安安全 2025-06-06 00:01 0x00 漏洞编号 – CVE-2025-0674 0x01 危险等级 – 高危 0x02 漏洞概述 Elber是一家从事广播行业模拟/数字微波链路的公司。 0x03 漏洞详情 CVE-2025-0674 漏洞类型: 身份认证绕过 影响: 越权访问 简述: Elber多个产品的/mo
继续阅读谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 | 顶级大模型向警方举报用户!AI告密排行榜出炉
谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 | 顶级大模型向警方举报用户!AI告密排行榜出炉 e安在线 e安在线 2025-06-04 03:20 谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 谷歌在确认攻击者正在广泛利用一个关键零日漏洞(zero-day vulnerability)后,紧急发布了Chrome安全更新。该漏洞编号为CVE-2025-5419,攻击者可通过Chrome
继续阅读SRC凭什么要为“废物”白帽子的真实漏洞付费?
SRC凭什么要为“废物”白帽子的真实漏洞付费? 原创 一个不正经的黑客 一个不正经的黑客 2025-06-03 13:23 今天刷到一个瓜,某个白帽子参加了某SRC的专项漏洞活动,这个活动也非常专业哈! 一些主流大厂比如美团、腾讯、阿里这些大型SRC举办过此类似活动。 般来说,举办这类专项活动的厂商其实偏少,但通常都有一个非常明显的特征: 主办厂商会为本次活动准备非常充裕的资金支持,目的就是聚焦挖
继续阅读Edu实战记录 | 四个漏洞打包提交
Edu实战记录 | 四个漏洞打包提交 猎洞时刻 猎洞时刻 2025-06-03 10:46 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑灰产、非法入侵、攻击
继续阅读加密算法被破解而导致的漏洞,能按内部已知+通用漏洞忽略吗?
加密算法被破解而导致的漏洞,能按内部已知+通用漏洞忽略吗? 原创 棉花糖糖糖 棉花糖fans 2025-06-03 10:11 今天上午某src群中有关于漏洞审核相关的讨论,相信师傅们也已经看到了,本文将打码所有相关信息,以防未知的风险。 首先是提交漏洞的师傅的消息: image-20250603172638708 随后src审核方面发了如下图片,并说:“给你解释过了 不在多余解释” image-
继续阅读严重Linux漏洞致全球数百万系统密码哈希值泄露
严重Linux漏洞致全球数百万系统密码哈希值泄露 FreeBuf 2025-06-02 10:01 全球数百万Linux系统受到两个严重的本地信息泄露漏洞影响,攻击者可能通过操控核心转储(core dump)获取敏感密码数据。Qualys威胁研究部门(TRU)披露了这两个针对主流Linux发行版核心转储处理程序的竞争条件漏洞: – CVE-2025-5054: 影响Ubuntu的App
继续阅读某校大数据管理后台Docker API未授权漏洞
某校大数据管理后台Docker API未授权漏洞 原创 大荒Sec 太乙Sec实验室 2025-06-01 05:58 免责声明: 本公众号 太乙Sec实验室 所提供的实验环境均是本地搭建,仅限于网络安全研究与学习 。旨在为安全爱好者提供技术交流。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作,所导致的直接或间接后果及损失,均由使用者本人负责。太乙Sec实验室 及作者对此不承担任何责任
继续阅读突破浅层测试桎梏:多维度漏洞挖掘突破与实践探索
突破浅层测试桎梏:多维度漏洞挖掘突破与实践探索 富贵安全 2025-05-31 00:47 在漏洞挖掘领域,刚入门新手常受限于浅层测试模式,他们多止步于基础功能验证,扫描接口时若未发现铭感信息便迅速转换目标,并只关注首次探测到的接口忽略前置接口的检查; 信息泄露单纯明文id鉴权场景以大幅减少唯有探索新的测试手法才能突破瓶颈 本文整合许多优秀师傅分享思路与笔者事件经验,萃取其中精华皆在拓展读者挖掘视
继续阅读海外SRC漏洞挖掘|助力成为百万赏金猎人
海外SRC漏洞挖掘|助力成为百万赏金猎人 迪哥讲事 2025-05-30 12:47 0x01 培训介绍 在SRC漏洞挖掘当中,随着攻击面的缩小,常规姿势与技巧已经无法挖掘出比较满意的漏洞。那么本课程将会给你带来国内外SRC漏洞挖掘 的骚姿势以及奇淫技巧!通过丰富的案例以及生动且简单易懂的教学带你快速上手漏洞挖掘当中的方方面面。通过本课程,了解国内外漏洞挖掘不同的思路,并且提升国内外漏洞挖掘的能力
继续阅读小程序渗透记录:通过细节挖掘漏洞的艺术
小程序渗透记录:通过细节挖掘漏洞的艺术 船山信安 2025-05-29 16:00 来自团队核心成员SRC大佬:月 的原创 近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交流学习! 低价享受高价 锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格也不同上,包括成人价格 儿童老年人优惠等,站点特征明显,厚码叠甲 选
继续阅读BurpSuite插件 | 告别手动测试,快速挖掘漏洞!
BurpSuite插件 | 告别手动测试,快速挖掘漏洞! 黑白之道 2025-05-29 01:50 工具介绍 AutoFuzz是一款针对BurpSuite的安全测试辅助插件,旨在提高测试效率。它通过自动识别请求中的参数,并根据预设的payload逐个进行发包测试,帮助安全研究人员快速发现潜在漏洞。该插件借鉴了经典的xia_sql项目,加入了参数解析优化与越权、未授权访问场景的集成,支持自动化渗透
继续阅读2个月荣登字节SRC年榜第一,云上漏洞秘籍首公开!
2个月荣登字节SRC年榜第一,云上漏洞秘籍首公开! FreeBuf FreeBuf 2025-05-28 10:07 XIAOHUOJU 关于小火炬 不!可!思!议! 小火炬独领风骚,在字节SRC疯狂乱杀 两个月直接登顶年榜TOP1! 字节SRC排名截图 喜!大!普!奔! 5月28日本周三晚20:00 小火炬带着他的“通杀全家桶”现身FreeBuf/知识大陆直播间! 点!击!预!约! XIAOHU
继续阅读实战EDUSRC挖掘|微信小程序渗透漏洞及getshell复盘
实战EDUSRC挖掘|微信小程序渗透漏洞及getshell复盘 不秃头的安全 2025-05-28 04:09 微信小程序渗透漏洞及getshell复盘 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。还在学怎么挖通用漏洞和src吗?知识星球有什么,续费也有优惠私聊~~想要入交流群在最下方,考安全证书请联系vx咨询。 0x1
继续阅读渗透测试 | 分享某次项目上的渗透测试漏洞复盘
渗透测试 | 分享某次项目上的渗透测试漏洞复盘 原创 神农Sec 神农Sec 2025-05-28 02:06 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠券)。 文章作者: 一个想当文人的黑客 文章来源: h
继续阅读DragonForce操作者利用SimpleHelp漏洞链式攻击某MSP服务商及其客户
DragonForce操作者利用SimpleHelp漏洞链式攻击某MSP服务商及其客户 鹏鹏同学 黑猫安全 2025-05-28 01:29 网络安全公司Sophos研究人员披露,某DragonForce勒索软件运营者利用远程管理软件SimpleHelp中的三个漏洞链(CVE-2024-57727、CVE-2024-57728、CVE-2024-57726)实施入侵,进而通过某托管服务商(MSP)
继续阅读CISA提醒注意已遭利用的 Commvault 0day漏洞
CISA提醒注意已遭利用的 Commvault 0day漏洞 Ionut Arghire 代码卫士 2025-05-27 10:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA提到,正遭利用的 Commvault 0day漏洞可能是更广范围的软件即服务 (SaaS) 解决方案的一部分。 该漏洞的编号是CVE-2025-3928(CVSS 评分8.7),可导致远程攻击者创建和执行
继续阅读浅析SpringBoot框架常见未授权访问漏洞
浅析SpringBoot框架常见未授权访问漏洞 Jack 黑曜网安实验室 2025-05-26 10:07 星标公众号可大图观看! 前言 在对 Java 站点进行渗透测试的过程中,经常会遇见各类未授权访问漏洞,本文来总结学习下常见的几类未授权访问漏洞的检测和利用方法。 SpringBoot 站点的简单识别方法: 1) 通过 API 接口的 Web 服务。通俗的来讲,Swagger 就是将项目中所有
继续阅读黑客宣称利用 API 接口漏洞窃取 12 亿 Facebook 用户记录
黑客宣称利用 API 接口漏洞窃取 12 亿 Facebook 用户记录 三沐 三沐数安 2025-05-26 03:15 背景: 攻击者声称通过滥用Meta旗下Facebook的应用程序接口(API)非法获取了包含12亿条用户记录的数据库,并将该数据集发布于知名数据泄露论坛。 若得到证实,这将成为Facebook历史上最大规模的数据泄露事件之一。 网络安全媒体Cybernews研究团队对攻击
继续阅读某医院小程序系统存在水平越权漏洞被约谈
某医院小程序系统存在水平越权漏洞被约谈 网信重庆 祺印说信安 2025-05-25 16:00 2025年5月15日,据网信重庆报道: 近日,在市网信办指导下,重庆高新区网信办联合重庆高新区公安分局 、公共服务局 依法对属地某医院履行网络安全主体责任不到位的行为开展约谈。 经网络安全日常巡查,属地某医院小程序系统存在水平越权漏洞等网络安全问题,该漏洞存在患者敏感数据泄漏风险。重庆高新区网信办高度重
继续阅读