【漏洞】飞塔防火墙漏洞深度利用及调试环境搭建
【漏洞】飞塔防火墙漏洞深度利用及调试环境搭建 sn0w 神农Sec 2025-06-06 01:04 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 文章作者:sn0w 文章来源:https://xz.al
继续阅读标签: 0day
0day漏洞量产?AI Agent“生产线”曝光
0day漏洞量产?AI Agent“生产线”曝光 原创 腾讯程序员 腾讯技术工程 2025-06-05 12:30 作者:悟空团队 — 新一代 AI 代码安全捉“妖”行者(原腾讯AI安全-啄木鸟团队) 丨 导语 随着AI技术的迅猛发展,AI智能体在0day漏洞挖掘领域展现出前所未有的潜力。 本文将深入探讨AI Agent如何通过创新的多智能体协作系统,打造出高效的0day漏洞“生产线”,实现自动
继续阅读我不再依赖 CVE ,对漏洞管理的重新构想
我不再依赖 CVE ,对漏洞管理的重新构想 原创 刘宸宇 数世咨询 2025-06-05 10:31 疲于奔命的漏洞管理 漏洞管理的天然滞后性,加上策略和流程的延迟,让安全团队疲于奔命。在能力有限的现实下,要立即修复所有漏洞只会让团队不堪重负。我们的漏洞运营中心 (VOC) 数据集分析团队在 68,500 个客户资产中发现了 1,337,797 个安全漏洞。其中有CVE编号的 32,585 个漏洞
继续阅读更新:改造模糊测试工具 | 系统0day安全-二进制漏洞攻防(第4期)
更新:改造模糊测试工具 | 系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-06-05 09:59 更新:第六章:改造模糊测试工具 6.1 模糊测试挖掘命令注入漏洞 https://www.kanxue.com/book-193-5395.htm 6.2 模糊测试挖掘命令注入实现 https://www.kanxue.com/book-193-5420.htm 二进制漏洞,作
继续阅读微步情报局发现DataEase存在多个高危漏洞,可实现RCE
微步情报局发现DataEase存在多个高危漏洞,可实现RCE 原创 微步情报局 微步在线研究响应中心 2025-06-05 03:30 漏洞概况 DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据、洞察业务趋势,从而支持业务改进和优化。 微步情报局挖掘到DataEase 多个高危漏洞,包括CVE-2025-48999,CVE-2025-49001,CVE-2025-4900
继续阅读0Day漏洞曝光!多媒体综合业务显示系统面临严峻挑战
0Day漏洞曝光!多媒体综合业务显示系统面临严峻挑战 原创 禾小盾 数字人才创研院 2025-06-05 02:45 点击上方 蓝字 关注我们 BEGINNING OF SPRING 由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送文章,敬请大家动动手指设置“星标”,完成之后可以第一时间收到推送啦。 0x01 阅读须知 Reading Instruction
继续阅读最新xxl-job综合漏洞检测利用工具|漏洞探测
最新xxl-job综合漏洞检测利用工具|漏洞探测 pureqh 渗透安全HackTwo 2025-06-04 16:01 0x01 工具介绍 xxl-job-attack 是一个用于检测和利用 XXL-JOB 系统漏洞的综合工具。该工具可以检测默认口令、未授权的Hessian反序列化漏洞、Executor未授权命令执行漏洞和默认accessToken身份绕过等问题。它支持通过内存马(如冰蝎Fil
继续阅读谷歌悄悄紧急修复已遭利用的 Chrome 0day
谷歌悄悄紧急修复已遭利用的 Chrome 0day Ionut Arghire 代码卫士 2025-06-04 10:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周一,谷歌发布 Chrome 137 更新,修复了三个漏洞,其中一个是已遭在野利用的高危 0day 漏洞,CVE-2025-5419。 该漏洞是位于 V8 JavaScript 引擎中的一个界外读和写问题。谷歌在安全公告
继续阅读慧与:注意这个严重的 StoreOnce 认证绕过漏洞
慧与:注意这个严重的 StoreOnce 认证绕过漏洞 Bill Toulas 代码卫士 2025-06-04 10:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 慧与 (HPE) 发布安全通告提醒称,基于磁盘的备份和冗余数据删除解决方案StoreOnce 中存在8个漏洞,其中最严重的是一个认证绕过漏洞CVE-2025-37093(CVSS 评分9.8),其余漏洞是四个RCE漏洞、两
继续阅读某园区0day代码审计
某园区0day代码审计 进击安全 2025-06-04 06:47 1、权限绕过 1.1、方法一 这里看spring-mvc 的配置,找到SpringMVC 拦截器 跟进拦截器,主要看看拦截规则写的什么,判断地址是否为白名单,如果部位白名单进入到 if (session.getAttribute(“sessional_user“) == null) { 循环中 白名单地址为
继续阅读某优化版PHP九国语言交易所存在前台SQL注入漏洞
某优化版PHP九国语言交易所存在前台SQL注入漏洞 原创 Mstir 星悦安全 2025-06-04 06:38 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 项目编号 : 10035 内部编号:XY-101724 某优化版PHP九国语言交易所系统源码/秒合约交易源码/币币合约/c2c/质押投资,前端uni-app,后端php,修复了一些报错和优化了一些细节,前后端均正常,需要开启
继续阅读谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 | 顶级大模型向警方举报用户!AI告密排行榜出炉
谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 | 顶级大模型向警方举报用户!AI告密排行榜出炉 e安在线 e安在线 2025-06-04 03:20 谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 谷歌在确认攻击者正在广泛利用一个关键零日漏洞(zero-day vulnerability)后,紧急发布了Chrome安全更新。该漏洞编号为CVE-2025-5419,攻击者可通过Chrome
继续阅读简单好用的漏洞管理工具(附下载链接)
简单好用的漏洞管理工具(附下载链接) 原创 Rot5pider Rot5pider安全团队 2025-06-04 01:26 点击上方蓝字 关注安全知识 漏洞管理工具-miscan 工具简介 Miscan 是一款专注于高效漏洞管理的工具,支持漏洞扫描、规则编写、发包测试等功能,旨在帮助安全人员快速验证和利用漏洞。 免责声明 本工具仅限安全研究使用,用户需自行承担所有法律及连带责任!作者不承担任何
继续阅读【src】SRC漏洞挖掘信息收集与挖掘技巧
【src】SRC漏洞挖掘信息收集与挖掘技巧 rggb 神农Sec 2025-06-04 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 文章作者:rggb 文章来源: https://www.f
继续阅读后渗透神器AdaptixC2红队渗测试多人协作框架(附带教程)|漏洞探测
后渗透神器AdaptixC2红队渗测试多人协作框架(附带教程)|漏洞探测 RalfHacker 渗透安全HackTwo 2025-06-03 16:15 0x01 工具介绍 Adaptix 是一个专为渗透测试人员打造的可扩展后利用和对抗模拟框架。Adaptix 服务器采用 Golang 编写,以提供灵活的操作方式。GUI 客户端采用 C++ QT 编写,可在 Linux、Windows 和 Mac
继续阅读紧急预警:谷歌Chrome高危0Day漏洞(CVE-2025-5419)遭黑客大规模利用!
紧急预警:谷歌Chrome高危0Day漏洞(CVE-2025-5419)遭黑客大规模利用! 原创 红队安全圈 红队安全圈 2025-06-03 14:38 ⚙️ 漏洞原理与技术细节 1. 根源问题 漏洞位于Chrome浏览器的 V8 JavaScript引擎 中,因对恶意JS对象/数组的边界检查存在缺陷,攻击者可构造特定网页触发内存越界访问 。 2. 攻击链与危害 • 第一阶段 :通过恶意网页诱
继续阅读【1day】某医药系统存在前台SQL注入漏洞
【1day】某医药系统存在前台SQL注入漏洞 原创 XingYue404 星悦安全 2025-06-03 11:29 点击上方 蓝字 关注我们 并设为 星标 0x01 漏洞分析 XX医药管理系统 工具一把梭哈找前台接口,分析代码 /admin/caiwuchongxiao/OrderHandler.ashx context.Response.Write(GetData("list&quo
继续阅读高通:速修复这三个已遭利用的 Adreno GPU 漏洞
高通:速修复这三个已遭利用的 Adreno GPU 漏洞 Ryan Naraine 代码卫士 2025-06-03 10:35 其中 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 周一,手机芯片制造商高通提醒称,专业黑客已在利用三个新修复的 Adreno GPU 漏洞,高通正在督促电话制造商立即推出可用的修复方案。 高通并未提供这些攻击的详情,不过援引“谷歌威胁分析组织的指标”提到,三个漏
继续阅读【免费领】智能设备安全干货:路由器0day漏洞实战大全
【免费领】智能设备安全干货:路由器0day漏洞实战大全 蚁景网络安全 2025-06-03 09:30 点击蓝字/关注我们 今日福利 全网稀缺的智能设备安全实战指南 案例解析路由器Web应用、栈溢出漏洞 “一站式”全面学习路由器漏洞挖掘技能 限时福利,请及时领取哦 ~ 该资料内容较多,无法列出全部目录,以下为节选的部分目录: 长按识别下方二维码 ,回复 “0603” , 免费领取 ~ (限7日内领
继续阅读CNVD漏洞周报2025年第20期
CNVD漏洞周报2025年第20期 国家互联网应急中心CNCERT 2025-06-03 09:27 2 0 2 5 年 0 5 月26 日 – 2 0 2 5 年 0 6 月01 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 高。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞425个,其中高危漏洞251个、中
继续阅读漏洞通告 | llama_Index SQL注入漏洞
漏洞通告 | llama_Index SQL注入漏洞 原创 微步情报局 微步在线研究响应中心 2025-06-03 08:49 漏洞概况 llama_Index是一个用于构建基于数据的LLM驱动代理的领先框架。 微步情报局获取到llama_Index SQL注入漏洞(CVE-2025-1750)。该漏洞由于llama_Index的DuckDBVectorStore组件中的ref_doc_id参数直
继续阅读粉丝福利*3《攻击网络协议:协议漏洞的发现+利用+保护》
粉丝福利*3《攻击网络协议:协议漏洞的发现+利用+保护》 异步图书 亿人安全 2025-06-03 08:12 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——用
继续阅读当漏洞成为“数字战争”的弹药,谁能改写攻防规则?(文末赠书)
当漏洞成为“数字战争”的弹药,谁能改写攻防规则?(文末赠书) 0x6270安全团队 0x6270安全团队 2025-06-03 08:00 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜
继续阅读Realtek蓝牙HCI适配器驱动程序0day漏洞披露,攻击者可删除Windows任意文件
Realtek蓝牙HCI适配器驱动程序0day漏洞披露,攻击者可删除Windows任意文件 会杀毒的单反狗 军哥网络安全读报 2025-06-03 01:00 导读 Realtek 蓝牙主机控制器接口 (HCI) 适配器中发现了一个高严重性安全漏洞,这引起了设备制造商和最终用户的极大担忧。 该漏洞编号为CVE-2024-11857,于 2025 年 6 月 2 日披露。该漏洞允许具有标准用户权限的
继续阅读分享一款图形化的 .DS_Store文件泄露、.git目录泄露、.svn目录泄露漏洞利用工具
分享一款图形化的 .DS_Store文件泄露、.git目录泄露、.svn目录泄露漏洞利用工具 原创 白帽学子 白帽学子 2025-06-03 00:11 之前hvv期间我差点被甲方的运维经理追着跑——他们内网某台服务器突然暴露了.git历史记录,源码里连数据库密码都明文挂着。这种低级错误在红蓝对抗里可是要扣双倍分的,所以上线前我总要拿个扫雷工具过两遍。 图形化界面看着比命令行顺眼多了。上周给某电商
继续阅读某平台白盒JAVA权限绕过到RCE审计流程
某平台白盒JAVA权限绕过到RCE审计流程 原创 知名小朋友 进击安全 2025-06-01 08:04 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 朋友给到一套源码xx系统的,这里尝试进行审计,其实发现这个源码是一个Struts2框架的,所以一开始没有太去关注一些别的东
继续阅读苹果Safari 漏洞使用户易遭全屏中间浏览器攻击
苹果Safari 漏洞使用户易遭全屏中间浏览器攻击 Bill Toulas 代码卫士 2025-05-30 09:29 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果公司的 Safari web 浏览器中存在一个弱点,可导致威胁人员利用全屏的中间浏览器 (BitM) 技术从毫不知情的用户处窃取账号凭据。 通过滥用 Fullscreen API(允许网页上的任何内容进入浏览器的全屏查看模
继续阅读聊热点|国家安全部发布使用AI应用保密安全指南、OpenAI o3模型单挑Linux内核,竟揪出一个0-day高危漏洞……
聊热点|国家安全部发布使用AI应用保密安全指南、OpenAI o3模型单挑Linux内核,竟揪出一个0-day高危漏洞…… 中国电信安全 2025-05-30 08:13 01 行业动态 国家安全部发布使用AI应用保密安全指南 随着人工智能技术的迅猛发展,AI应用在文字处理、数据分析、个性化服务等领域展现了卓越的能力,前所未有地融入我们工作和生活的方方面面。需要注意的是,我们在享受技术红利之时,也
继续阅读当漏洞成为“数字战争”的弹药,谁能改写攻防规则?
当漏洞成为“数字战争”的弹药,谁能改写攻防规则? 菜鸟学信安 2025-05-30 01:03 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——用十余年攻防实战验
继续阅读Sirius 一款开源通用漏洞扫描器(Docker版)|漏洞探测
Sirius 一款开源通用漏洞扫描器(Docker版)|漏洞探测 makoto56 渗透安全HackTwo 2025-05-29 16:01 0x01 工具介绍 天狼星(Sirius)是一款高效的开源漏洞扫描工具,支持Docker快速部署,提供Web界面、API接口和自动化扫描功能。适用于企业安全团队、渗透测试人员及开发者,帮助发现并修复系统漏洞,快速检测SQL注入、XSS、弱口令等常见漏洞。5分
继续阅读