漏洞分析 | Apache SkyWalking SQL注入漏洞分析
漏洞分析 | Apache SkyWalking SQL注入漏洞分析 原创 杂七 杂七杂八聊安全 2024-12-30 03:36 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把 杂七杂八聊安全“ 设为星标”, 否则可能就看不到了啦~ 0x01 熟悉Graphql 0x01.1 Graphql环境搭建 通过springboot搭建graphql环境,pom .xml内容如下: 其中
继续阅读标签: EXP
【漏洞通告】某凌OA fsscCommonPortle 未授权SQL注入漏洞
【漏洞通告】某凌OA fsscCommonPortle 未授权SQL注入漏洞 原创 常行安服团队 常行科技 2024-12-30 01:38 某凌生态OA基于21年数字化办公经验,以微服务基座和低代码平台为核心,实现多云多端、全程在线、生态协同。该系统涵盖生态化、数字化、平台化、智能化四大特性,支持生态组织、生态协同,如生态化采购、客户、招聘、伙伴、访客和项目管理,以及数字化工作门户、流程、行政、
继续阅读轻量级,免费,百万POC
轻量级,免费,百万POC 菜狗 富贵安全 2024-12-30 00:38 Nuclei 是一款现代的高性能漏洞扫描程序,它利用基于 YAML 的简单模板。它使您能够设计模拟真实情况的自定义漏洞检测场景,从而实现零误报。 用于创建和自定义漏洞模板的简单 YAML 格式。 由数千名安全专家贡献,以解决流行的漏洞。 通过模拟真实世界的步骤来验证漏洞,从而减少误报。 超快速的并行扫描处理和请求聚类。 集
继续阅读PostgreSQL-CVE-2020-25695 提权漏洞分析
PostgreSQL-CVE-2020-25695 提权漏洞分析 珠天PearlSky 2024-12-29 16:04 适用版本 13.0 – PostgreSQL 13.0 (Debian 13.0-1.pgdg100+1) 12.4 – PostgreSQL 12.4 (Debian 12.4-1.pgdg100+1) 12.3 – PostgreSQL 12.3 (Debian 12.3-
继续阅读要好好的看完喔,不然会被暴力的X哟,cjson&json 二进制漏洞利用总结
要好好的看完喔,不然会被暴力的X哟,cjson&json 二进制漏洞利用总结 闻人语默 老鑫安全 2024-12-29 10:00 简介 JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。它以纯文本形式存储和传输数据,广泛应用于客户端和服务器之间的数据交互。 JSON格式 键/值对用冒号 : 分隔。
继续阅读网络信息系统WF2409E路由器进行了一次完整的硬件安全分析研究 | 漏洞分析
网络信息系统WF2409E路由器进行了一次完整的硬件安全分析研究 | 漏洞分析 Victorique-123 夜组安全 2024-12-29 04:17 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!
继续阅读NB!一款基于java开发的漏洞检测工具,集合了泛微、用友、大华、海康、致远、红帆、万户、帆软等漏洞
NB!一款基于java开发的漏洞检测工具,集合了泛微、用友、大华、海康、致远、红帆、万户、帆软等漏洞 黑白之道 2024-12-29 01:05 1► 工具介绍 基于 https://github.com/yhy0/ExpDemo-JavaFX 上添加poc 2► 新增检测漏洞 用友NC-Cloud系统接口getStaffInfo存在SQL注入漏洞 用友U8-Cloud ReleaseRepM
继续阅读PostExpKit插件使用常见问题11-18
PostExpKit插件使用常见问题11-18 TtTeam 2024-12-28 16:00 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 前言 好久没发原创文章了,今天我们来分享下写PostExpKit插件和 星球
继续阅读Delinea 协议处理程序 – 通过更新进程执行远程代码(CVE-2024-12908)
Delinea 协议处理程序 – 通过更新进程执行远程代码(CVE-2024-12908) Ots安全 2024-12-28 06:29 概括 Secret Server 协议处理程序促进 Secret Server 与客户端计算机之间的通信。它还提供启动器运行所需的文件。当用户启动启动器时,协议处理程序: 1. 引导客户端应用程序。 通过 HTTP(S) 与 Secret Serve
继续阅读2024年零日漏洞利用七大趋势
2024年零日漏洞利用七大趋势 黑白之道 2024-12-28 05:40 未修补的漏洞一直是攻击者入侵企业系统的重要手段,尤其是零日漏洞。由于这些漏洞没有修复方案,攻击者可以在防御团队来不及应对之前迅速发动攻击。2024年,零日漏洞数量再次大幅增长,攻击者借此获得了先发优势,成为攻击企业网络和数据的关键武器。 虽然所有零日漏洞都需要被CISO及安全团队密切关注并及时修复,但其中有些漏洞因其关键性
继续阅读FreeBuf周报 | AI平台1.29T数据库裸奔;9.9分SQL注入漏洞可获admin权限
FreeBuf周报 | AI平台1.29T数据库裸奔;9.9分SQL注入漏洞可获admin权限 Zicheng FreeBuf 2024-12-28 02:02 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 账号和密钥明文存储,AI平台1.29T数据库裸奔 近日,网络安全研
继续阅读分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集
分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集 原创 神农Sec 神农Sec 2024-12-28 01:05 扫码加圈子获内部资料网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 哈喽师傅们,这篇文章自己写之前先是看了十几篇的Fastjson反序列化漏洞相关的文章,自己也是先学习了
继续阅读Qemu重入漏洞梳理 & CVE-2024-3446分析
Qemu重入漏洞梳理 & CVE-2024-3446分析 原创 胡志斌 华为安全应急响应中心 2024-12-27 10:10 1 简介 本文主要是分析CVE-2024-3446漏洞的成因和漏洞的补丁,以及之前的补丁为何失效,顺便对Qemu历史重入漏洞进行了分析梳理 2 时间线 2020/07/21 e1000e重入导致的UAF(还没归为重入问题) 2021/08/23 重入漏洞整理为一类
继续阅读EDU-Kesion科汛开发的在线教育建站系统存在SQL注入漏洞 (大量存在含POC新接口) | 漏洞预警
EDU-Kesion科汛开发的在线教育建站系统存在SQL注入漏洞 (大量存在含POC新接口) | 漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2024-12-27 08:06 0x01 产品简介 科汛网校KesionEDU是KESION科汛开发的在线教育建站系统,支持在线直播教学、课程点播、录播授课等多种教学方式,满足不同场景下的教学需求。提供问答互动、学习点评、在线
继续阅读“AI+Security”系列第4期(三):基于大模型的漏洞挖掘技术与实践
“AI+Security”系列第4期(三):基于大模型的漏洞挖掘技术与实践 奇安信技术研究院 2024-12-27 06:41 近日,“AI+Security” 系列第 4 期线下活动在北京顺利举行,主题聚焦于 “洞” 见未来:AI 驱动的漏洞挖掘新范式,吸引了众多安全领域专家参与。奇安信安全研究员尹斌先生围绕 “基于大模型的漏洞挖掘技术与实践” 展开分享。他深入介绍了大模型与静态代码分析、模糊测
继续阅读CVE-2024-50379 Tomcat 漏洞深度分析及 POC(严重性 9.8)
CVE-2024-50379 Tomcat 漏洞深度分析及 POC(严重性 9.8) Ots安全 2024-12-27 00:01 介绍 在不断发展的网络安全格局中,预防漏洞对于保护敏感系统至关重要。最近,全球使用最广泛的 Web 应用服务器之一 Apache Tomcat 中发现了一个严重的安全漏洞 — CVE-2024–50379 。该漏洞的严重性评分为9.8,具有重大风险,可能允许攻击者执行
继续阅读最新Nacos 综合漏洞利用检测工具12月更新|漏洞探测
最新Nacos 综合漏洞利用检测工具12月更新|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-12-26 16:00 0x01 工具介绍 NacosExploit是一款用于检测Nacos服务中已知漏洞的工具,支持自定义内存马功能,使渗透测试更加灵活。通过简单的FOFA查询语法,可以快速识别目标Nacos实例的认证绕过等问题。 下载地址在末尾 0x02 功能简介支持漏洞| PoC | Ex
继续阅读Jenkins漏洞利用精华总结
Jenkins漏洞利用精华总结 原创 simeon的文章 小兵搞安全 2024-12-26 14:33 1.1.1简介 1.Jenkins简介 Jenkins是一个开源软件项目,最开始被称作 Hudson,基于Java开发的一种使用非常广泛的持续集成工具,用于监控持续重复的工作。由于易于使用并且具有良好的扩展性,Jenkins深受用户喜爱,在持续集成领域的市场份额居于主导地位,其被各种规模的团队用
继续阅读蓝凌EKP系统thirdImSyncForKKWebService接口存在任意文件读取漏洞 附POC
蓝凌EKP系统thirdImSyncForKKWebService接口存在任意文件读取漏洞 附POC 2024-12-26更新 南风漏洞复现文库 2024-12-26 13:53 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 蓝凌EK
继续阅读D-LINK DIR-815多次溢出漏洞
D-LINK DIR-815多次溢出漏洞 原创 curve SecNL安全团队 2024-12-26 12:31 title: D-LINK DIR-815多次溢出漏洞 author: 1ens tags: – 漏洞复现
继续阅读【漏洞通告】libxml2 XML外部实体注入漏洞(CVE-2024-40896)
【漏洞通告】libxml2 XML外部实体注入漏洞(CVE-2024-40896) 启明星辰安全简讯 2024-12-26 10:08 一、漏洞概述 漏洞名称 libxml2 XML外部实体注入漏洞 CVE ID CVE-2024-40896 漏洞类型 XXE 发现时间 2024-12-25 漏洞评分 9.1 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/E
继续阅读创宇安全智脑 | 泛微e-cology 9 FileDownloadLocation SQL 注入等69个漏洞可检测
创宇安全智脑 | 泛微e-cology 9 FileDownloadLocation SQL 注入等69个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-26 09:56 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和
继续阅读僵尸网络利用漏洞攻击网络录像机及TP-Link路由器
僵尸网络利用漏洞攻击网络录像机及TP-Link路由器 天唯科技 天唯信息安全 2024-12-26 01:56 据BleepingComputer消息,一个基于Mirai的新型僵尸网络正在积极利用DigiEver网络录像机中的一个远程代码执行漏洞,该漏洞尚未获得编号,也暂无修复补丁。 Akamai 研究人员观察到,该僵尸网络于 11 月中旬开始利用该漏洞,但证据表明该活动至少自 9 月以来就一直活
继续阅读勒索软件攻击中利用了关键的 Cleo 漏洞
勒索软件攻击中利用了关键的 Cleo 漏洞 天唯科技 天唯信息安全 2024-12-26 01:56 根据 CISA 最新发现,确定 Cleo Harmony、VLTrader 和 LexiCom 文件传输软件中的一个关键安全漏洞正在被勒索软件攻击所利用。 此漏洞编号为 CVE-2024-50623,影响 5.8.0.21 之前的所有版本,使未经身份验证的攻击者,能够在在线暴露的易受攻击的服务器上
继续阅读分享最近攻防演练HVV漏洞复盘
分享最近攻防演练HVV漏洞复盘 原创 神农Sec 神农Sec 2024-12-26 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 浅谈 师傅们又又又到文章的分享时刻了,这次给师傅们分享的是前段时间打的一个省级HVV的攻防演练,然后呢,也是借着这次写文章的机会,给师
继续阅读Apache Struts 文件上传漏洞分析与复现指南
Apache Struts 文件上传漏洞分析与复现指南 云梦DC 云梦安全 2024-12-26 01:00 漏洞背景 Apache Struts 是一种应用程序框架,应用应较广泛。在为用户提供文件上传功能时,Struts 采用了 FileUploadInterceptor 来处理上传请求。然而,该功能存在路径遍历漏洞,攻击者可通过构造恶意请求,将文件上传至不应该的目录,这可能导致远程代码执行(R
继续阅读工具 | xxl-jobExploitGUI
工具 | xxl-jobExploitGUI 原创 白帽学子 白帽学子 2024-12-25 12:13 有时候我们会遇到一些不太常见的漏洞,像XXL-JOB这种开源系统的配置漏洞。它本身并不算是零日漏洞,但如果攻击者知道它的默认配置并加以利用,后果可能挺严重的。 这时候,类似xxl-jobExploitGUI这种工具就显得特别有用了。它专门是为检测XXL-JOB的默认accessToken权限绕
继续阅读【安全圈】僵尸网络利用漏洞攻击网络录像机及TP-Link路由器
【安全圈】僵尸网络利用漏洞攻击网络录像机及TP-Link路由器 安全圈 2024-12-25 11:00 关键词 安全漏洞 据BleepingComputer消息,一个基于Mirai的新型僵尸网络正在积极利用DigiEver网络录像机中的一个远程代码执行漏洞,该漏洞尚未获得编号,也暂无修复补丁。 Akamai 研究人员观察到,该僵尸网络于 11 月中旬开始利用该漏洞,但证据表明该活动至少自 9 月
继续阅读探索 NASA CryptoLib 的 SDLS 实现中的漏洞
探索 NASA CryptoLib 的 SDLS 实现中的漏洞 Ots安全 2024-12-25 10:01 介绍 作为 ESTEC 系统安全工程团队的一名青年实习生,我被分配了一项任务,即分析地面和太空部分之间空间通信中使用的协议的安全性。范围很广,包括许多协议、标准(CCSDS 和 ECSS)和不同的实现,但这是一个具有挑战性的学习机会。这些活动导致了一些工具的开发,提供了一个名为 SPACE
继续阅读欢迎报名!系统0day安全-二进制漏洞攻防(第4期)
欢迎报名!系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2024-12-25 09:59 二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的底层代码中,一旦被利用,可能导致数据泄露、系统崩溃,甚至更严重的安全事件。为了应对这一挑战,我们精心打造了一门全新的课程——系统0day安全-二进制漏洞攻防(第4期)。 上新价:¥15000 为企业构建一道坚不可摧的安全防线 ·
继续阅读