SAP修复已遭利用的0day漏洞
SAP修复已遭利用的0day漏洞 Bill Toulas 代码卫士 2025-04-27 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SAP 公司紧急修复位于 NetWeaver 中的一个远程代码执行 (RCE) 0day 漏洞,它可用于劫持服务器。 该漏洞的编号是CVE-2025-31324,CVSS评分10分,是一个位于SAP NetWeaver Visual Compo
继续阅读标签: 0day
【文章转载】DragonForce与Anubis再掀风暴:勒索软件“加盟制”全面升级,你的数据还安全吗?
【文章转载】DragonForce与Anubis再掀风暴:勒索软件“加盟制”全面升级,你的数据还安全吗? solarsec solar应急响应团队 2025-04-27 07:41 点击蓝字 关注我们 尽管国际执法部门成功打击了多个知名勒索软件组织,但网络犯罪分子依然展现出极强的韧性和适应能力。2025年,Secureworks® 威胁对抗中心(Counter Threat Unit™,简称CTU
继续阅读whisper多商户客服系统存在前台SQL注入漏洞
whisper多商户客服系统存在前台SQL注入漏洞 原创 XingYue404 星悦安全 2025-04-27 05:48 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 某兄弟向我求助一站,领导要求拿到后台权限,打开一看发现是 二开的 whisper 多商户客服系统,搜索网络已知漏洞 发现有XSS+任意文件读取,但目标站点貌似修复了. 于是去网上找到源码 开始审计 框架:ThinkPH
继续阅读智能汽车安全-漏洞挖掘到控车攻击
智能汽车安全-漏洞挖掘到控车攻击 OYyunshen 神农Sec 2025-04-27 03:21 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 原文链接: https://forum.butian.ne
继续阅读【0day预警】最新版小皮面板(XPanel)绕过随机安全入口前台RCE方法
【0day预警】最新版小皮面板(XPanel)绕过随机安全入口前台RCE方法 原创 匿名大手子 菜狗安全 2025-04-27 01:11 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 前言 文章由交流
继续阅读Spring Boot漏洞总结(文末加技术交流群)
Spring Boot漏洞总结(文末加技术交流群) 原创 ashui Rot5pider安全团队 2025-04-27 00:58 点击上方蓝字 关注安全知识 引 言 下方加交流群,二维码满了添加: parkour1998 入群 一、Spring Boot框架识别方法 图标特征 默认启动页图标(可通过浏览器开发者工具查看favicon.ico文件hash值) Spring Boot Actuat
继续阅读护网行动2024漏洞复盘:这些”0day漏洞”为何让企业一夜崩盘?
护网行动2024漏洞复盘:这些”0day漏洞”为何让企业一夜崩盘? 是傲 安小圈 2025-04-27 00:45 声明:无恶意引导,漏洞信息以及poc网上均已公开,此文章进行漏洞资源整合复盘,仅供师傅们参考。 【前言】 小伙伴们一年一度的护网攻防即将开始,你们的实力提升如何了?是不是又在幻想要打穿哪家企业了?那就让蓝方工程师尝尝你们新的“绝招”吧。 在2024年护网攻防演
继续阅读第120篇:蓝队溯源之蚁剑、sqlmap、Goby反制方法的复现与分析
第120篇:蓝队溯源之蚁剑、sqlmap、Goby反制方法的复现与分析 原创 abc123info 希潭实验室 2025-04-26 13:30 Part1 前言 大家好,我是 ABC_123。最近在更新蓝队分析研判工具箱中的溯源反制功能时,我阅读了大量相关的技术文章。很多资料提到了早期版本的蚁剑、sqlmap、goby等工具的反制思路,其中的一些方法非常有参考价值。不过,ABC_123在复现过程
继续阅读紧急预警!某高校EDU越权漏洞被盯上!我竟在后台改写了百万师生“生死簿”?!
紧急预警!某高校EDU越权漏洞被盯上!我竟在后台改写了百万师生“生死簿”?! 勤奋的运营姐姐 EnhancerSec 2025-04-26 08:43 甲方领导看到这篇文章连夜打电话要求排查系统! 白帽子看了这篇文章想立刻下载复现!! 吃瓜群众误以为是灵异事件点进来这篇文章学技术!!! 平台算法因这篇文章含“天劫”等高权重词疯狂推荐!!!! 你还在犹豫什么!速速点击关注公众号加入我们吧!!!!!
继续阅读【0day预警】最新版小皮面板(XPanel)组合拳前台RCE
【0day预警】最新版小皮面板(XPanel)组合拳前台RCE sec0nd安全 2025-04-26 02:26 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 前言 文章由交流群匿名大手子投稿 漏洞详
继续阅读若依系统 | SQL注入漏洞+druid框架漏洞
若依系统 | SQL注入漏洞+druid框架漏洞 原创 神农Sec 神农Sec 2025-04-26 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 若依系统渗透测试 漏洞一:SQL注入漏洞 都
继续阅读小程序渗透记录 通过细节挖掘漏洞的艺术
小程序渗透记录 通过细节挖掘漏洞的艺术 一天要喝八杯水 蓝云Sec 2025-04-25 12:03 低价享受高价 锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格也不同上,包括成人价格 儿童老年人优惠等,站点特征明显,厚码叠甲 选择一个目的地出行,然后下单记录数据包 选择一个目的地BP记录到了创建订单的接口shipgateway/shipOrderApi/
继续阅读2025年Q1 遭利用漏洞达159个,开源软件类排名第四
2025年Q1 遭利用漏洞达159个,开源软件类排名第四 Ravie Lakshmanan 代码卫士 2025-04-25 09:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VulnCheck 公司发布报告表示,在2025年第一季度,多达159个CVE漏洞已被标记为遭在野利用,而2024年第四季度这一数字为151个。 报告指出,“我们仍发现,在CVE编号发布不到一天的时间,28.3
继续阅读某GPS定位系统存在前台SQL注入漏洞
某GPS定位系统存在前台SQL注入漏洞 原创 星悦 星悦安全 2025-04-25 04:26 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 手机端强制打开GPS,每3分钟(可调)获取一次所在经纬度,如果位置变化距离超过100米(可调), 则提交给后台的PHP。然后后台把得到的数据保存到数据库,再通过前面的百度地图API绘制出轨迹和显示驻留时间。 安卓端安装好后,设置开机自启并打开相应的
继续阅读攻防实战绕过disable_function命令执行
攻防实战绕过disable_function命令执行 原创 ashui Rot5pider安全团队 2025-04-25 02:59 蓝 队 蓝队短期HVV攻防演练项目招聘(北京) 工作内容: 负责前期渗透测试及HVV(攻防演练)期间的安全研判、不需要应急。 项目周期: 2个月(含前期渗透准备阶段及HVV实战阶段),五一后启动,具体入场时间面试通过后通知。 工作地点: 北京 薪资待遇: 税前月薪
继续阅读Lazarus APT 利用1day漏洞攻击韩国目标
Lazarus APT 利用1day漏洞攻击韩国目标 会杀毒的单反狗 军哥网络安全读报 2025-04-25 01:00 导读 臭名昭著的 Lazarus APT组织最近发起一场网络间谍活动,被追踪为“Operation SyncHole”,自 2024 年 11 月以来,已危害至少六个韩国机构,涉及软件、IT、金融、半导体和电信领域。 根据详细研究,攻击者采用了水坑攻击和利用韩国广泛使用的软件(
继续阅读nginxWebui后台任意文件读取漏洞&rce分析-0day&nday
nginxWebui后台任意文件读取漏洞&rce分析-0day&nday 原创 深潜sec安全团队 深潜sec安全团队 2025-04-25 00:10 免责声明 免责声明:文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用文中所发布的技术或工具造成的任何直接或者间接的后果及损失,均由使用者本人承担。 关注公众号,输入“学习交流”加入交流群 觉得不错的话,可以多点赞、分享
继续阅读AI基础设施安全评估系统|漏洞探测
AI基础设施安全评估系统|漏洞探测 Tencent 渗透安全HackTwo 2025-04-24 16:00 0x01 工具介绍 AI Infra Guard(AI Infrastructure Guard) 是一个高效、轻量、易用的AI基础设施安全评估工具,专为发现和检测AI系统潜在安全风险而设计。注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo”设为
继续阅读【原创0day】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞(NVDB-CITIVD-2025865374)
【原创0day】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞(NVDB-CITIVD-2025865374) 长亭安全应急响应中心 2025-04-24 10:10 金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款企业级中间件,全面支持JakartaEE规范,提供Web、EJB、WebService容器,适配国产软硬件,用于支撑企业级应用运行。2
继续阅读可防护0day的智能语义分析防护系统
可防护0day的智能语义分析防护系统 夜组安全 2025-04-24 03:04 前言 面对大型网络安全活动、常态化防护以及满足等保2.0、GDPR等国内外合规要求,WEB应用防护设备是必需品。 SafeLine,中文名 “雷池”,是一款简单好用, 效果突出的 Web 应用防火墙(WAF),可以保护 Web 服务不受黑客攻击。 雷池通过过滤和监控 Web 应用与互联网之间的
继续阅读可防护0day的智能语义分析防护系统·雷池
可防护0day的智能语义分析防护系统·雷池 原创 NightTeam 夜组OSINT 2025-04-24 03:00 前言 面对大型网络安全活动、常态化防护以及满足等保2.0、GDPR等国内外合规要求,WEB应用防护设备是必需品。 SafeLine,中文名 “雷池”,是一款简单好用, 效果突出的 Web 应用防火墙(WAF),可以保护 Web 服务不受黑客攻击。 雷池通过
继续阅读渗透测试 | 实战swagger框架漏洞
渗透测试 | 实战swagger框架漏洞 原创 神农Sec 神农Sec 2025-04-24 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 0x1 加密的Swagger 首先一般大家分享Swa
继续阅读Active! mail 中的RCE 0day漏洞用于攻击位于日本的机构
Active! mail 中的RCE 0day漏洞用于攻击位于日本的机构 Bill Toulas 代码卫士 2025-04-23 10:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Active! mail 中存在一个远程代码执行 (RCE) 0day 漏洞,现已被用于攻击位于日本的大型组织机构。 Active! mail 最初是由 TransWARE 开发的一款基于 web 的邮件
继续阅读Funadmin v5.0.2 存在SQL注入漏洞
Funadmin v5.0.2 存在SQL注入漏洞 王桀 星悦安全 2025-04-23 08:23 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 █ 该文章来自楚风安全-王桀师傅 █ FunAdmin 基于thinkphp8.X +Layui2.9.*+requirejs开发权限(RBAC)管理框架,框架中集成了权限管理、模块管理、插件管理、后台支持多主题切换、配置管理、会员管理等
继续阅读针对Nacos漏洞猎杀的各种骚姿势
针对Nacos漏洞猎杀的各种骚姿势 原创 神农Sec 神农Sec 2025-04-23 01:03 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠券)。 0x1 相关漏洞资产收集 像比如师傅们不知道怎么找naco
继续阅读【PHP代码审计】ZZCMS 2019多个漏洞(附POC)
【PHP代码审计】ZZCMS 2019多个漏洞(附POC) 原创 WL Rot5pider安全团队 2025-04-23 00:41 引 言 zzcms,站长招商网cms,适用于招商代理型的行业网站,可用于医药招商网站程序源码,服装招商网站程序源码,化妆品招商网站的程序源码等。 为啥审这个CMS,洞多(类型也多) 官网最新版下载地址:http://www.zzcms.net
继续阅读8天,这个被微软认为“低可利用性”的漏洞即遭利用
8天,这个被微软认为“低可利用性”的漏洞即遭利用 Iain Thomson 代码卫士 2025-04-22 10:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 3月补丁星期二,微软发布安全更新。就在8天后,网络犯罪分子已经武器化其中一个漏洞,攻击位于波兰和罗马尼亚的政府和私营行业。 该漏洞的编号为CVE-2025-24054,是一个NTLM 哈希泄露漏洞,被微软判定为“不太可能”遭利
继续阅读更新3节:漏洞分析与利用 | 系统0day安全-IOT设备漏洞挖掘(第6期)
更新3节:漏洞分析与利用 | 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-04-22 10:05 更新: 第四章 漏洞分析与利用 课时3:loT设备漏洞挖掘与实战-IoT 设备 OTA https://www.kanxue.com/book-7-5324.htm 课时4:loT设备漏洞挖掘与实战-IoT 设备漏洞挖掘思路概述 https://www.kanxue.
继续阅读漏洞通告 | 泛微E-cology前台远程代码执行漏洞(NVDB-CNVDB-2025530957)
漏洞通告 | 泛微E-cology前台远程代码执行漏洞(NVDB-CNVDB-2025530957) 原创 微步情报局 微步在线研究响应中心 2025-04-22 08:59 漏洞概况 泛微E-cology是一款企业级协同办公自动化系统,主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点,旨在提升组织的协同办公效率和管理水平。 近日,微步情报局通过X漏洞奖励计划获取到泛
继续阅读