疑似俄罗斯APT28组织在全球攻击活动中利用0Day漏洞——每周威胁情报动态第223期 (05.16-05.22) 原创 BaizeSec 白泽安全实验室 2025-05-23 01:00 APT攻击 – 疑似俄罗斯 APT28 组织 在全球 攻击 活动中利用 0Day 漏洞 Swan-Vector APT组织通过DLL植入技术针对台湾与日本发动网络攻击 攻击活动 – 知名
继续阅读域0day容易利用吗 蚁景网络安全 2025-05-22 09:54 前言 很久以前的一个例子了 kerberos认证原理 先了解几个概念 认证服务(Authentication server):简称AS,认证客户端身份提供认证服务。 域控服务器(Domain Control):即DC。 服务票据(Server Ticket):简称ST,在Kerberos认证中,客户端请求的服务通过ST票据认证。
继续阅读满分严重漏洞导致 MB-Gateway 设备易受远程攻击 Eduard Kovacs 代码卫士 2025-05-22 09:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 由工业自动化公司 AutomationDirect 制造的 MB-Gateway 设备因受严重漏洞影响,易受远程攻击。 CISA 在本周二披露了该漏洞,并在安全通告中提到,易受攻击的 Modbus 网关产品的客户遍布
继续阅读某礼品卡电子券收卡系统存在前台SQL注入漏洞 阿乐你好 2025-05-22 08:10 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 一个先进、稳定、功能完善的回收交易平台, 通过技术对接,全面实现线上回收各类虚拟卡。销卡速度快,到账稳定。 解决浪费:直接面对用户回收 出户即可提交卡号卡密完成回收交易 解决每年上十亿礼品卡闲置的问题。 资金回流:让企业闲置、员工FULI、 亲友相赠等方
继续阅读前瞻对抗|这大概是首次,AI挖出了Linux内核可利用0day 原创 前瞻对抗 DARKNAVY 2025-05-22 07:01 正如 DARKNAVY 在深蓝洞察 | 2024年度最具想象空间的新应用 所展望的: 新一代的 AI Agent 将具备优秀的推理能力和泛化能力,并能熟练地运用多种安全研究工具,继承大量的人类专家经验,如同顶尖的安全专家一般,发现现实世界中更多的 0day 漏洞。 不
继续阅读AboutSSRF一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测插件 hnking-star 渗透安全HackTwo 2025-05-21 16:01 0x01 工具介绍SSRF_Detector是一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测工具,用于检测无回显&全回显SSRF漏洞,提供了多种功能供用户自定义,包括但不限于关键字
继续阅读VMware 紧急修复多个漏洞 Ryan Naraine 代码卫士 2025-05-21 10:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,博通紧急修复多个 VMware 漏洞,可导致数据泄露、命令执行和拒绝服务 (DoS) 攻击,目前不存在应变措施。 博通发布两份公告,至少提到了位于 VMware Cloud Foundation、VMware ESXi、vCenter
继续阅读【渗透实战系列】|54-小程序渗透记录 通过细节挖掘漏洞的艺术 一天要喝八杯水 Hacking黑白红 2025-05-21 08:29 原文于:https://forum.butian.net/share/4229 原文作者:一天要喝八杯水 奇怪安信攻防社区 如侵权请联系删除。 目录: 一、低价享受高价 二、0元购思路 三、输出点思考 四、全站收货地址泄露 简单的0元 五、%模糊查询配合siz
继续阅读俄 APT 组织利用0day漏洞和擦除器加强对欧洲的攻击 会杀毒的单反狗 军哥网络安全读报 2025-05-21 01:01 导读 ESET 表示,2024 年底和 2025 年初,俄罗斯黑客组织的恶意网络活动强度增强。 ESET Research在其《2024 年第四季度至 2025 年第一季度APT 活动报告》中记录了 2024 年 10 月至 2025 年 3 月期间全球主要 APT 组织的
继续阅读BurpAPI越权漏洞检测工具|漏洞探测 shuanx 渗透安全HackTwo 2025-05-20 16:00 0x01 工具介绍 BurpAPIFinder 是一款用于攻防演练的Burp Suite插件,旨在帮助安全研究人员发现网站中未授权访问、敏感信息泄露和越权漏洞。它可以提取网站的URL,解析JS文件中的链接,识别敏感信息,如账户、密码、私钥等。支持自定义敏感关键词和路径,集成多种敏感信息
继续阅读火狐修复Pwn2Own大会上利用的2个0day漏洞 Ravie Lakshmanan 代码卫士 2025-05-20 10:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 公司已发布安全更新,修复位于火狐浏览器中的两个严重漏洞。这两个漏洞可被用于访问敏感数据或实现代码执行。 这两个漏洞均在刚刚结束的柏林 Pwn2Own 大赛上遭利用,简述如下: CVE-2025-491
继续阅读Pwn2Own 2025柏林黑客大赛:发现28个0day 斩获百万美元奖金 安全内参 2025-05-20 09:25 关注我们 带你读懂网络安全 大赛共发现28个唯一 0day 漏洞,颁发奖金1078750美元。 编译:代码卫士 为期三天的2025 Pwn2Own 柏林黑客大赛落下帷幕,STAR Labs SG团队以32万美元和35个积分点的成绩摘得桂冠!大赛共发现28个唯一 0day 漏洞,颁
继续阅读微步再获评CNNVD“高质量漏洞优秀贡献奖”、“年度优秀技术支撑单位” 微步在线 2025-05-20 03:00 近日,国家信息安全漏洞库(CNNVD)发布2024年度评选结果,微步凭借在漏洞挖掘、分析及响应领域的持续积极参与,连续三年蝉联“年度优秀技术支撑单位”与“高质量漏洞优秀贡献单位”两项荣誉。 作为网络空间安全的核心战略资源,漏洞治理事关国家安全与数字经济发展全局。作为以“威胁情报(TI
继续阅读CNVD漏洞周报2025年第18期 国家互联网应急中心CNCERT 2025-05-20 02:02 2 0 2 5 年 0 5 月1 2 日 – 2 0 2 5 年 0 5 月18 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞 363个,其中高危漏洞181个
继续阅读CNVD漏洞周报2025年第18期 国家互联网应急中心CNCERT 2025-05-20 02:02 2 0 2 5 年 0 5 月1 2 日 – 2 0 2 5 年 0 5 月18 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞 363个,其中高危漏洞181个
继续阅读Firefox紧急修复两大零日漏洞!Pwn2Own柏林大赛黑客斩获$10万奖金 原创 道玄安全 道玄网安驿站 2025-05-19 14:26 “ 火狐0day。” PS:有内网web自动化需求可以私信 01 — 导语 在刚刚落幕的 Pwn2Own柏林2025 黑客大赛中,Mozilla Firefox浏览器成为焦点——两名安全研究员利用 两个零日漏洞(CVE-2025-4918和CVE-202
继续阅读逻辑漏洞中一些自己总结关于验证码的漏洞挖掘 迪哥讲事 2025-05-19 12:35 0x01 短信轰炸 通过抓取发送短信的数据包,然后可以把该数据包一直重放达到无限制的去发送短信或者是邮件 绕过方法 程序员可能会对发送验证码做一定的限制,但是由于考虑不周全还是可以被绕过 在”phone”字段前后添加字符绕过 +86 //在前面添加 tab %20 + 字母 … C
继续阅读推荐一个专为新手打造的漏洞挖掘实战圈 安全渗透感知 FreeBuf知识大陆APP 2025-05-19 11:30 面对挖洞时毫无头绪? 你不是一个人在战斗! 想学习漏洞挖掘,却苦于不知道从哪里开始? 看着师傅们一边提交漏洞一边领赏,你却连个POC都写不出来? 打开各类公开资料,零散又重复,学完感觉自己还是什么都不会? 尝试搭建靶场,环境一堆报错、漏洞复现卡壳,信心受挫? 这不是你的问题——而是缺
继续阅读当漏洞成为“数字战争”的弹药,谁能改写攻防规则? Zacarx Zacarx随笔 2025-05-19 09:15 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”—
继续阅读【漏洞挖掘案例】从XSS到”RCE”的PC端利用链构建 The One安全 2025-05-19 08:36 前言 先铺垫一下。笔者有一个习惯,懒得记各种命令和payload,手工渗透测试时,遇到比较长的payload的情况下,不想一个一个地去手敲命令,于是我之前就在github上想寻找一个类似于记事本的软件,但是最好和我的记录命令的需求适配,于是就找到了一位师傅写的开源项
继续阅读一次任意文件下载漏洞审计-JAVA sec0nd安全 2025-05-18 15:15 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 突然电脑里面多了一套源码,然后开始审了审,是以jar包启动的,虽然最终拿到了鉴权绕过以及任意文件上传,但是不解析JSP所以没什么用处,这里挑
继续阅读ruoyi系统 4.8 后台RCE漏洞分析 1506847328721267 神农Sec 2025-05-18 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 原文链接: https://xz.
继续阅读某OA代码审计之挖掘0day,未公开poc 黑白之道 2025-05-17 09:42 参与的众测项目,资产非常难挖掘漏洞,所以只能通过审计的方式,找找漏洞点 资产里相对用的多的 oa,都是用友,泛微,致远等大型 oa,对我这种小菜来说,直接上手有点难度,无意间发现了金和系统,就直接来审计学学,刚开始找网盘资料,发现有个 net 版的源码,结果目标系统是 jsp,就 G 了。 然后就找朋友要了安装
继续阅读Chrome修复已遭活跃利用的0day Ravie Lakshmanan 代码卫士 2025-05-16 10:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,谷歌发布更新修复了Chrome web浏览器中的四个安全漏洞,其中一个已出现在野利用。 该高危漏洞的编号是CVE-2025-4664,是位于组件Loader中的策略执行不充分问题。谷歌提到,“Google Chrome
继续阅读Webpack源码泄露漏洞批量探测 回忆潋红雨 神农Sec 2025-05-16 02:23 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 原文链接: https://xz.aliyun.com/news
继续阅读俄黑客组织 APT28 利用 MDaemon 0day漏洞攻击Webmail 服务器 会杀毒的单反狗 军哥网络安全读报 2025-05-16 01:00 导读 根据 ESET 的最新发现,与俄罗斯有关的威胁组织涉嫌通过跨站点脚本 (XSS) 漏洞(包括 MDaemon 中的0day漏洞)针对 Roundcube、Horde、MDaemon 和 Zimbra 等网络邮件服务器进行网络间谍活动。 这项
继续阅读从XSS到”RCE”的PC端利用链构建 原创 X1ly?S 蚁景网络安全 2025-05-15 09:41 前言 先铺垫一下。笔者有一个习惯,懒得记各种命令和payload,手工渗透测试时,遇到比较长的payload的情况下,不想一个一个地去手敲命令,于是我之前就在github上想寻找一个类似于记事本的软件,但是最好和我的记录命令的需求适配,于是就找到了一位师傅写的开源项目
继续阅读FortiVoice零日漏洞遭野外利用,特制HTTP请求可执行任意代码 FreeBuf 2025-05-14 11:01 Fortinet公司近日披露了一个关键级基于栈的缓冲区溢出漏洞(CVE-2025-32756),该漏洞影响其安全产品线中的多款产品,且已确认有攻击者针对FortiVoice系统实施野外利用。 这个CVSS评分为9.6的漏洞允许远程未认证攻击者通过特制HTTP请求执行任意代码或命
继续阅读【风险通告】微软5月安全更新补丁和多个高危漏洞风险提示 安恒研究院 安恒信息CERT 2025-05-14 09:57 漏洞公告 微软官方发布了5月安全更新公告,包含了Kernel Streaming Service Driver、Universal Print Management Service、Web Threat Defense (WTD.sys)、Microsoft Office、Win
继续阅读Ivanti 修复已用于代码执行攻击中的两个 EPMM 0day 漏洞,与开源库有关 Sergiu Gatlan 代码卫士 2025-05-14 09:36 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今天,Ivanti 公司督促客户修复 Ivanti Endpoint Manager Mobile (EPMM) 软件中的两个漏洞CVE-2025-4427和CVE-2025-4428,它
继续阅读