黑客在 Pwn2Own Automotive 2025 第一天利用了 16 个0day漏洞 龙猫 星尘安全 2025-01-24 02:01 点击上方 蓝字 关注我们 在 Pwn2Own Automotive 2025 的第一天,安全研究人员利用了 16 个独特的零日漏洞,并获得了 382,750 美元的现金奖励。 Fuzzware.io 利用基于堆栈的缓冲区溢出和源站验证错误漏洞入侵了 Aute
继续阅读内网扫描工具Fscan免杀版|漏洞扫描 漏洞挖掘 渗透安全HackTwo 2025-01-23 16:00 0x01 工具介绍 二开的 fscan 是基于原版内网扫描工具的优化版本,解决了主机存活输出乱序、端口扫描结果混乱等问题,支持 IP 和端口排序输出,更加直观和高效。此外,删除了一些冗余功能如 JSON 输出,并优化了命令行参数处理和日志记录,适配个人渗透习惯。 下载地址在末尾 0x02
继续阅读目前2025汽车Pwn2Own大会产生16个0day漏洞 独眼情报 2025-01-23 03:19 在东京大展览馆举办的2025汽车Pwn2Own大会今天开幕,展示了汽车网络安全研究的前沿技术。 首日,白帽黑客在车载信息娱乐系统(IVI)、电动车充电桩和操作系统中成功利用了16个此前未知的漏洞。大会向参与者颁发了高达382,750美元的奖金。 第一天的重要亮点 本次比赛呈现出成功、重复和失败并存
继续阅读更新5节!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期) 看雪课程 看雪学苑 2025-01-22 09:59 本周更新: 2.5 固件分析基础 https://www.kanxue.com/book-140-4949.htm 2.6 镜像分区分析基础 https://www.kanxue.com/book-140-4950.htm 第三章 固件/镜像仿真与调试 3.1 固件仿真基础
继续阅读7-Zip 修复高危的 Windows MoTW 安全告警绕过漏洞 SERGIU GATLAN 代码卫士 2025-01-22 09:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 7-Zip 文件压缩文档中存在一个高危漏洞,可导致攻击者绕过 MotW Windows 安全特性,从所嵌入的文档中提取恶意文件时在用户计算机上执行代码。 7-Zip 在2022年6月发布的版本22.00开始
继续阅读1Scan一键渗透扫描器|漏洞探测 漏洞挖掘 渗透安全HackTwo 2025-01-21 16:00 0x01 工具介绍 1Scan 全平台一键渗透扫描器,只需输入目标(IP、URL、CIDR、ip.txt、ipc.txt、ipb.txt、url.txt),即可一键使用多种协议收集信息、网络密码爆破、高危1Day、Nday漏洞探测、一键GetShell等。 下载地址在末尾**** 0x02 功
继续阅读奇安信2024《漏洞态势报告》:新增漏洞再创新高,总体威胁持续加深 虎符智库 2025-01-21 09:57 本文 2660 字 阅读约需 9 分钟 2025年1月21日,奇安信发布《2024年度网络安全漏洞威胁态势研究报告》(以下简称:《报告》)。《报告》指出,2024年全球新增漏洞数量再创新高,漏洞利用成为网络攻击的重中之重。开源项目、云计算、物联网(IoT)、国 产软件以及关键基础设
继续阅读一款java漏洞集合工具 Hyacinth 安全之眼SecEye 2025-01-21 00:10 点击上方「蓝字」,关注我们 因为公众号现在只对常读和星标的公众号才能展示大图推送,建议大家进行星标 。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 01 免责声明 免责声明: 该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法
继续阅读CVE-2024-13025-Codezips 大学管理系统 faculty.php sql 注入分析及拓展 船山信安 2025-01-19 16:01 Codezips 里面有很多cms系统,其中的一个College Management System In PHP With Source Code存在sql注入漏洞。 复现 对源码进行下载登录。 里面有很多远程js加载不出来但是不影响接口使用。
继续阅读【工具分享】Swagger API Exploit 1.2 – 信息泄露利用工具 原创 Mstir 星悦安全 2025-01-19 07:00 点击上方 蓝字 关注我们 并设为 星标 0x01 工具介绍 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code
继续阅读【代码审计】WeGIA 存在前台任意文件上传漏洞 (RCE) 原创 Mstir 星悦安全 2025-01-18 11:08 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 WeGIA是一个福利机构管理器,并且具有一下几种功能,并且在3.2.8及之前版本都存在前台任意文件上传漏洞,且都可进行直接上传Phar等文件执行任意命令,反弹Shell等操作: – 人员,用于员工和与会者的注
继续阅读欢迎报名!“系统0day安全”系列课程:掌握漏洞挖掘重要技能 看雪课程 看雪学苑 2025-01-18 09:59 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握
继续阅读渗透测试 | 某系统垂直越权漏洞的挖掘 Myling 神农Sec 2025-01-18 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://www.freebuf.com/vuls/413421.html 作者:Myling 0x1 背景 在某个工作日的上午
继续阅读记某OA系统Ajax旧服务的0day漏洞挖掘 sec0nd安全 2025-01-17 23:37
继续阅读谷歌OAth 漏洞导致弃用账号遭访问 Bill Toulas 代码卫士 2025-01-17 09:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌OAth ”通过谷歌登录”特性中存在一个弱点,可导致注册了已不再正常运行的创业公司域名的攻击者,访问与多个软件即服务 (SaaS) 平台相关的离职员工的敏感数据。 该漏洞由 Trufflesecurity 公司的研究员发现并在去年9月3
继续阅读某小说vip破解代码分析 1708124866250085 神农Sec 2025-01-17 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://xz.aliyun.com/t/17006 作者:1708124866250085 代码分析如下 首先jadx打
继续阅读2025最新Invicti-Professional-V25.1 WEB漏洞扫描器更新|近期漏洞合集更新 原创 城北 渗透安全HackTwo 2025-01-16 16:00 前言 内部星球近期漏洞验真合集更新|漏洞威胁情报更新 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。
继续阅读Ivanti修复Endpoint Manager中的多个严重漏洞 THN 代码卫士 2025-01-16 10:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司已发布安全更新,修复了影响 Avalanche、Application Control Engine和Endpoint Manager (EPM) 中的多个漏洞,其中的四个严重漏洞可导致信息泄露。 这四个严重漏
继续阅读实战|拿下了自己学校的大屏幕 点击关注👉 马哥网络安全 2025-01-16 09:00 1月份入坑到现在,已经5个月了。这 五个月来一直在刷edusrc,并且在本 月初成功达到了总榜第五名。很多人问我如何快速批量刷站?那么,他来了。本次分享一次对自己 学校的一次安全检测实战文章。帮助萌新理清思路,同时,欢迎各位大佬指点不足。 0x01 先看学校的域名ip地址注意:这里我建议不要看主域名的,看二级
继续阅读Rsync修复数个高危漏洞,两个RCE需要重点关注 原创 微步情报局 微步在线研究响应中心 2025-01-16 04:25 漏洞概况 Rsync 是一个强大的、快速的、通用的文件同步工具。它可以实现本地或远程主机之间的文件和目录同步,并且在传输过程中只同步差异部分,大大节省了带宽和时间。它是一个命令行工具,通常用于备份、镜像、数据迁移等场景。 微步情报局监控到Rsync官方修复了6个漏洞,其中:
继续阅读API漏洞挖掘神器API_kit的二开版本|Burp Suite 插件 漏洞挖掘 渗透安全HackTwo 2025-01-15 16:01 0x01 工具介绍 APIKit二开版本是基于Burp Suite的API接口扫描插件,改进自APIKit1.0。新增扫描开关以防止无意扫描,优化页面性能,增强界面交互体验。该插件可主动/被动扫描API泄露文档并生成请求包用于安全测试,支持自定义扫描与自动发
继续阅读【风险通告】微软1月安全更新补丁和多个高危漏洞风险提示 安恒研究院 安恒信息CERT 2025-01-15 11:00 漏洞公告 微软官方发布了1月安全更新公告,包含了Windows Hyper-V NT Kernel Integration VSP、MapUrlToZone、Windows HTML Platforms、Windows OLE、Microsoft Excel、Microsoft
继续阅读Fortinet:注意这个认证绕过0day漏洞可用于劫持防火墙 Sergiu Gatlan 代码卫士 2025-01-15 10:02 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 攻击者正在利用位于 FortiOS和FortiProxy 中的一个认证绕过0day漏洞,劫持Fortinet 防火墙并攻陷企业网络。 该漏洞的编号是CVE-2024-55591,影响 FortiOS 7.0.0
继续阅读微软2025年1月补丁星期二值得关注的漏洞 综合编译 代码卫士 2025-01-15 10:02 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在2025年1月补丁星期二中共修复了159个漏洞,其中8个是0day漏洞。 这些漏洞的分类如下: 40个提权漏洞 14个安全特性绕过漏洞 58个远程代码执行漏洞 24个信息泄露漏洞 20个拒绝服务漏洞 5个欺骗漏洞 已遭利用的0day 本次微软
继续阅读更新4节!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期) 看雪课程 看雪学苑 2025-01-15 09:59 本周更新: 2.1 固件/镜像环境获取方法(1)https://www.kanxue.com/book-140-4936.htm 2.2 固件/镜像环境获取方法(2)https://www.kanxue.com/book-140-4947.htm 2.3 固件/镜像环境处理(1
继续阅读微步情报局发现Apache Linkis漏洞,再获Apache官方致谢 原创 微步情报局 微步在线研究响应中心 2025-01-15 08:10 漏洞概况 Apache Linkis 是一个用于大数据平台的计算中间件,旨在简化大数据任务的管理和执行。它提供了一个统一的接口,支持多种计算引擎(如 Spark、Hive、Flink 等),并帮助用户更高效地管理和调度大数据任务。 近日,Apache 官
继续阅读【漏洞通告】微软1月多个安全漏洞 启明星辰安全简讯 2025-01-15 07:48 一、漏洞概述 202 5 年 1 月 1 5 日,启明星辰集团 VSRC监测到微软发布了 1 月安全更新,本次更新共修复了 159 个漏洞, 漏洞类型包括 权限 提升漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等 , 漏洞级别包括 3个严重级别漏洞,97个高危级别漏洞,58个中危级别漏洞,1个低危
继续阅读VulScanner:一款专业的红队漏洞检测工具 泷羽Sec-醉陌离 2025-01-14 10:00 VulScanner 一款适合在渗透测试中随时记录和保存的漏洞检测工具 项目地址:https://github.com/cn-xwhat/VulScanner 文末有详细配置教程 一、 主要模块 主要功能模块 任务管理 : 支持扫描任务、FOFA 采集、IP 段采集。 任务进度实时可视化,便于跟
继续阅读GFI KerioControl 防火墙存在严重的RCE漏洞 THN 代码卫士 2025-01-13 10:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者们正在利用最近披露的 GFI KerioControl 防火墙中的一个漏洞 (CVE-2024-52875),如成功利用则可实现远程代码执行 (RCE)。 该漏洞是指回车换行(CRFL)攻击,可为HTTP响应截断攻击做铺垫
继续阅读每周网安资讯 (1.7-1.13)|Adobe多款产品存在越界读取漏洞 交大捷普 2025-01-13 10:14 2024[ 每周网安资讯 ]1.7-1.13 网安资讯 1、我国牵头提出的国际标准《信息技术 信息安全事件管理 第4部分:协同》正式发布 近日,我国牵头提出的国际标准ISO/IEC 27035-4:2024《信息技术 信息安全事件管理 第4部分:协同》(Information tec
继续阅读