Mitmproxy GUI用于解决渗透测试加解密的难题 让你的Burp像测试明文这么简单|漏洞探测 blackguest007 渗透安全HackTwo 2025-06-12 16:00 0x01 工具介绍 一个基于 Mitmproxy 的图形化代理工具,支持多种加密算法的请求拦截和修改。本项目提供了一个直观的图形界面,使得使用 mitmproxy 进行请求拦截和加解密变得更加简单。 注意: 现在只
继续阅读漏洞通告|GeoServer SSRF和XXE漏洞 原创 微步情报局 微步在线研究响应中心 2025-06-12 09:55 漏洞概况 GeoServer 是一款用 Java 编写的开源软件服务器,允许用户共享和编辑地理空间数据。 微步情报局获取到GeoServer SSRF漏洞(CVE-2024-29198)漏洞和GeoServer XXE漏洞情报(CVE-2025-30220) 。漏洞成因:
继续阅读Microsoft 365 Copilot 中存在零点击AI数据泄露漏洞 Bill Toulas 代码卫士 2025-06-12 09:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 被命名为 “EchoLeak” 的新型攻击利用的是目前已知的首个零点击AI漏洞,它可导致攻击者从无需交互的用户上下文中,恶意泄露 Microsoft 365 的敏感数据。 该攻击由 Aim Labs 的安
继续阅读突发!奔驰车载系统大面积崩溃;首个已知AI零点击漏洞细节曝光 | 牛览 安全牛 2025-06-12 09:40 新闻速览 •突发!奔驰车载系统大面积崩溃 •内存泄漏漏洞意外曝光MaaS组织DanaBot内部运作 •650个IP联合暴力攻击瞄准Apache Tomcat管理面板 •Erie保险确认遭受网络攻击,导致业务中断 •Salesforce Industry Cloud曝出20个安全漏洞,包
继续阅读国外某数据库管理系统存在前台任意文件上传漏洞 (CVE-2025-5840) 原创 XingYue404 星悦安全 2025-06-12 07:10 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 客户数据库管理系统 (CDMS) 是一种功能强大且必不可少的工具,旨在 *以集中和结构化的方式存储、管理和组织客户*或客户信息**。该系统使企业能够有效地处理客户数据,包括联系方式、交易历史、通
继续阅读攻防下帮助学员快速审计NET前台rce漏洞 原创 知名小朋友 进击安全 2025-06-12 04:44 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 学员找到我,让我审计一套源码,于是这里开始进行审计。 二、框架查看 下班之后打开进行查看,跟学员对应的靶标。这里确定了Us
继续阅读微软 Copilot 严重漏洞可能引发零点击攻击 会杀毒的单反狗 军哥网络安全读报 2025-06-12 01:01 导读 研究人员表示,微软 Copilot AI 工具中最近修复的一个严重漏洞可能让远程攻击者只需发送电子邮件即可窃取组织的敏感数据。 该漏洞被命名为 EchoLeak,漏洞编号为CVE-2025-32711,黑客可利用该漏洞在目标用户未采取任何行动的情况下发起攻击。 Aim Sec
继续阅读【PHP代审】记一次某海外酒店管理系统漏洞复现分析+0day挖掘 原创 C@ig0 菜狗安全 2025-06-12 00:31 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由 使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 文章目录 前言 漏洞复现(
继续阅读一个web指纹识别工具,支持多线程、HTTP代理、批量识别、保存结果、截图展示、可自行添加指纹|漏洞探测 login546 渗透安全HackTwo 2025-06-11 16:01 0x01 工具介绍 httpgo 是一款高效的开源 Web 指纹识别工具,专为网络安全设计,支持多线程、HTTP 代理和批量 URL 识别。它能快速识别网站技术栈,生成 CSV、JSON、HTML 格式结果,并提供截图
继续阅读Ivanti Workspace Control硬编码密钥漏洞暴露 SQL 凭据 Sergiu Gatlan 代码卫士 2025-06-11 10:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司发布安全更新,修复了位于该公司 Workspace Control (IWC) 解决方案中的三个高危硬编码密钥漏洞。 IWC 助力企业管理员管理桌面和应用程序,是操作系统和用
继续阅读【风险通告】微软6月安全更新补丁和多个高危漏洞风险提示 安恒研究院 安恒信息CERT 2025-06-11 10:02 漏洞公告 微软官方发布了6月安全更新公告,包含了Windows Common Log File System Driver、Windows Installer、Microsoft Word、Web Distributed Authoring and Versioning (WEB
继续阅读我是如何挖到微软MSRC漏洞赏金榜首的 赠书活动 LK安全 2025-06-11 07:40 关注我们丨文末赠书 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——
继续阅读安天移动近期威胁情报盘点(5月29日-6月10日) AVL威胁情报团队 安天AVL威胁情报中心 2025-06-11 02:07 本期导读: 移动安全 ● 新型”选择劫持”攻击:恶意充电器可入侵安卓与iOS设备 ● Android 银行木马 Crocodilus 迅速演变并走向全球 ● Android 恶意软件 BADBOX 2.0 感染数百万台消费设备 ● Met
继续阅读Stealth Falcon威胁组织利用微软WebDAV 0day漏洞开展间谍活动 会杀毒的单反狗 军哥网络安全读报 2025-06-11 01:03 导读 Check Point 研究人员发现 Stealth Falcon 威胁组织利用微软零日漏洞开展网络间谍活动。 此次行动部署了一套复杂的自定义加载器和植入程序,旨在规避检测、阻碍分析,并选择性地仅在有价值的目标上激活。 2025年3月,Che
继续阅读微软6月补丁日:修复 66 个漏洞,包括一个APT组织利用的0day 会杀毒的单反狗 军哥网络安全读报 2025-06-11 01:03 导读 微软六月补丁日更新已发布,微软修复其产品线中的 66 个安全漏洞。其中包括一个在实际攻击中被利用的 0day 。 We b DAV(Web 分布式创作和版本控制)漏洞被标记为“重要”,CVSS 评分为 8.8/10,如果目标点击被操纵的网站,则允许基于浏览
继续阅读【紧急警示】一次成功阻断Weaxor勒索病毒家族加密之路 原创 solarsec solar应急响应团队 2025-06-10 08:17 在我们对5月份处理的各类勒索病毒入侵事件统计中,Weaxor勒索家族 依然位列入侵频率最高的家族之一。本月观测到的新变种已出现扩展名变化,后缀包括.weax 和.wxx ,与4月活跃的变种有所不同,显示该家族在持续进行更新与变种迭代。 本次分享的案例源于我们在
继续阅读速修!Kafka Connect爆任意文件读取漏洞,无需授权 原创 微步情报局 微步在线研究响应中心 2025-06-10 02:20 漏洞概况 Apache Kafka Connect是Apache Kafka生态系统中的一个组件,它提供了一种可靠且可扩展的方式来连接Kafka与其他系统。 微步情报局通过X漏洞奖励计划获取到Apache Kafka Connect任意文件读取漏洞(https:/
继续阅读微软MSRC榜首赏金猎人带你来挖洞 迪哥讲事 2025-06-09 12:05 关注我们丨文末赠书 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——用十余年攻防实
继续阅读CNVD漏洞周报2025年第21期 原创 CNVD CNVD漏洞平台 2025-06-09 09:41 2 0 2 5 年 06 月02日 – 2 0 2 5 年 0 6 月08 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 中。 国家信息安全漏 洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞488个,其中高危漏洞219个、中
继续阅读Java FreeMarker 模板引擎注入深入分析 蚁景网安 2025-06-09 08:59 温馨提示:图片有点多,请耐心阅读哦 0x01 前言 最近和 F1or 大师傅一起挖洞的时候发现一处某 CMS SSTI 的 0day,之前自己在复现 jpress 的一些漏洞的时候也发现了 SSTI 这个洞杀伤力之大。今天来好好系统学习一手。 – • 有三个最重要的模板,其实模板引擎本
继续阅读漏洞通告 | Roundcube Webmail存在反序列化漏洞 原创 微步情报局 微步在线研究响应中心 2025-06-09 08:05 漏洞概况 Roundcube Webmail 是一款开源的基于 Web 的多语言 IMAP 客户端,提供类似桌面应用程序的用户体验。 微步情报局获取到Roundcube Webmail存在反序列化漏洞情报(CVE-2025-49113,CNNVD-202506
继续阅读近期暗网 0day 售卖预警 原创 独眼情报 独眼情报 2025-06-09 05:56 好不容易又攒了一波 0day 售卖情报。8条信息,付费需谨慎,且看且珍惜。 警惕0day漏洞风险!0day漏洞是指尚未公开补丁、厂商和用户都无法及时防御的安全漏洞,一旦被黑客利用,可能导致系统被攻破、数据泄露甚至业务中断。任何安全产品都无法百分百防御0day攻击,唯有通过及时更新系统和软件、加强终端防护、完善
继续阅读仅靠JS审计就能捡到的漏洞 前端代码中的隐藏利用点|挖洞技巧 bcloud 渗透安全HackTwo 2025-06-08 16:01 0x01 前言 前端JS源码往往隐藏着未授权接口、敏感信息泄露等漏洞。本文结合实际案例,系统讲解如何通过审计JS文件挖掘高价值漏洞,从SQL注入到地图Key泄露,再到文件下载,探索手工渗透的魅力与技巧。 参考文章: https://xz.aliyun.com/new
继续阅读某日志管理系统前台注入(0day) 原创 知名小朋友 进击安全 2025-06-08 07:33 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 学习一下这个审计流程,在审计过程当中遇到了重重防护最终找到注入点。 二、审计流程 查看文件目录结构可以看出来不是框架类型的,我们找
继续阅读感谢大家的关注与支持 送两0DAY吧 Lzer0Kx01 LK安全 2025-06-08 06:12 免责声明 由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK 安全公众号 及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢大家!!! 请勿利用文章内的相关技术从事非法测试,由于传播,利用此文所提供的信息而
继续阅读小米:车联网安全漏洞挖掘 GRCC IoVSecurity 2025-06-08 02:17 点击上方 蓝色字体 ,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 汽车信息安全 漏洞 扫描及模糊测试工具介绍 汽车.工控和 物联网 行业的.0
继续阅读【漏洞】PHP代码审计篇 – 信呼OA 前台分析SQL注入 CrayonXiaoxin 神农Sec 2025-06-08 01:01 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 文章作者:
继续阅读LazyHunter:自动漏洞扫描的工具 原创 白帽学子 白帽学子 2025-06-08 00:11 之前hvv演练那阵子,咱们团队天天跟甲方资产清单较劲。你懂的,那些动不动就上万IP的扫描任务,光是端口服务识别就得折腾大半天。上周测试新工具的时候,LazyHunter倒是给我省了不少事。 记得上个月给某金融客户做安全加固,他们给的资产列表里混杂着测试环境和生产环境。用这工具批量导入IP段后,Sh
继续阅读高通GPU漏洞威胁安卓生态,撞库攻击致北面资料外泄|一周特辑 威努特安全网络 2025-06-06 23:59 高通紧急修补Adreno GPU高危漏洞 安卓用户面临针对性攻击风险 移动芯片巨头高通公司近日发布紧急安全补丁,修复其Adreno GPU驱动程序中的 三个关键0day漏洞(编号:CVE-2025-21479、CVE-2025-21480、CVE-2025-27038)。这些漏洞正被攻击
继续阅读【数字风险警示】从0-Click漏洞到AI“失控”:我们如何应对新兴网络威胁与治理挑战? 原创 Hankzheng 技术修道场 2025-06-06 09:00 本周的网络安全动态不仅揭示了传统软件漏洞的持续威胁,更将一些新兴技术带来的未知风险和全球性的网络治理难题摆在了我们面前。从关键软件的0-day/N-day漏洞被积极利用,到AI模型的行为异常,再到各国政府在数据安全与隐私保护方面的政策调整
继续阅读