「深蓝洞察」2023 年度最多面的漏洞
「深蓝洞察」2023 年度最多面的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-22 16:21 Fugu 15 的发布,让 iPhone 的安全研究人员觉得,iOS 始终都不是不可攻破的。 然而,随着 Linus Henze 被 Apple 招安,iOS 16 再无越狱的动静。 与 iOS 15 不同的是,在 iOS 16 的发行周期内,甚至连已知可利用的内核漏洞都寥寥无几。 这不禁令
继续阅读标签: POC
极有可能被黑客利用,Outlook远程代码执行漏洞
极有可能被黑客利用,Outlook远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-02-22 11:48 01 漏洞概况**** Microsoft Outlook是微软办公软件套装的组件之一,用于收发电子邮件、日历、任务管理、联系人等功能。微步漏洞团队于近日检测到微软发布了二月份补丁,披露数个安全漏洞,其中包括Outlook远程代码执行漏洞(CVE-2024-21413)。该
继续阅读YouDianCMS友点系统存在任意文件上传漏洞 附POC软件
YouDianCMS友点系统存在任意文件上传漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-21 21:44 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. YouDianCMS友点系统简介 微信公众号搜索:南风漏洞复现
继续阅读2024 想要 0day 多多?我这有份小秘籍!带你手把手挖掘 Java 系统漏洞。
2024 想要 0day 多多?我这有份小秘籍!带你手把手挖掘 Java 系统漏洞。 闪石星曜安全团队 闪石星曜CyberSecurity 2024-02-21 18:16 成长与学习 是个自知的事情 00 课程简介 由【闪石星曜CyberSecurity】云渡师傅出品的《Java代码审计零基础到实战》的线上培训课程,终于上线了! 还不会 Java 代码审计?那就别着急划走,花两分钟看看,这正是你
继续阅读2023 年度最𠓗的漏洞
2023 年度最𠓗的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-21 18:01 𠓗 fù,疾也,从三兔。 在过去的兔年,我们将“最𠓗漏洞”的名号颁予HTTP2 Rapid Reset漏洞,其对新版协议缺陷的巧妙利用再次生动展现了漏洞利用中速度 与激情 的主旋律。 国外头部厂商的抱团和修复速度更堪比疯狂动物城中的兔警官朱迪,相比之下其他懵圈的受影响机构却没有及时收到通报,像闪电树懒一样
继续阅读CrateDB数据库任意文件读取漏洞复现-CVE-2024-24565
CrateDB数据库任意文件读取漏洞复现-CVE-2024-24565 小白菜安全 小白菜安全 2024-02-21 17:30 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏
继续阅读记一次违法网站的渗透经历-漏洞挖掘
记一次违法网站的渗透经历-漏洞挖掘 漏洞挖掘 渗透安全HackTwo 2024-02-21 07:54 0x01 前言 在一次攻防演练信息收集过程中,发现该网站和给的资产网站是同一IP段于是有了此次违法站点的渗透 。 末尾可领取字典等资源文件 0x02 SQL漏洞发现到站点进行访问利用插件查看站点为php。常规扫目录前台一键登录之后在新增地址处发现存在注入0x03 进一步漏洞利用
继续阅读泛微e-office系统存在敏感信息泄露 附POC软件
泛微e-office系统存在敏感信息泄露 附POC软件 南风徐来 南风漏洞复现文库 2024-02-20 23:37 @[toc] 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 泛微e-office系统简介 微信公众号搜索:南风漏洞复
继续阅读CVE-2024-20931|Oracle WebLogic Server JNDI注入漏洞
CVE-2024-20931|Oracle WebLogic Server JNDI注入漏洞 alicy 信安百科 2024-02-20 22:13 0x00 前言 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务
继续阅读CVE-2024-21413|Microsoft Outlook 远程代码执行漏洞(需结合其他漏洞)
CVE-2024-21413|Microsoft Outlook 远程代码执行漏洞(需结合其他漏洞) alicy 信安百科 2024-02-20 22:13 0x00 前言 Microsoft Office Outlook是微软办公软件套装的组件之一,它对Windows自带的Outlook express的功能进行了扩充。 Outlook的功能很多,可以用它来收发电子邮件、管理联系人信息、记日记、
继续阅读子域名接管漏洞: 赚钱小技巧
子域名接管漏洞: 赚钱小技巧 原创 110hacker 一个不正经的黑客 2024-02-20 21:58 本文将介绍实际接管“易受攻击”的子域的过程。 我注意到,多个漏洞赏金计划开始明确接收子域名接管漏洞。同时,说实话,奖励也相当丰厚: 尽管许多漏洞赏金计划很慷慨,但它们要求您提供确实可能进行接管的概念验证。 在本文中,我将解释如何验证子域名接管是否可能,并为您提供step-by-step in
继续阅读【风险通告】Spring Security身份验证绕过漏洞(CVE-2024-22234)
【风险通告】Spring Security身份验证绕过漏洞(CVE-2024-22234) 安恒研究院 安恒信息CERT 2024-02-20 20:41 漏洞概述 漏洞名称 Spring Security身份验证绕过漏洞(CVE-2024-22234) 安恒CERT评级 3级 CVSS3.1评分 7.4 CVE编号 CVE-2024-22234 CNVD编号 未分配 CNNVD编号 未分配 安恒
继续阅读「深蓝洞察」2023 年度最野的漏洞
「深蓝洞察」2023 年度最野的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-20 17:58 随 着37C3欧洲混沌通讯年会上,来自俄罗斯的卡巴斯基研究员对 Operation Triangulation(三角测量行动)漏洞利用链震惊世界的曝光,安全社区在 2023 年底迎来一轮大狂欢。 2023 可能是持续不断的数字安全战争的关键一年。 2018 年,苹果公司在 iPhone XS
继续阅读漏洞通告 | Apache Solr 代码执行漏洞
漏洞通告 | Apache Solr 代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-02-20 10:48 01 漏洞概况**** Apache Solr是一个基于Java开发的高性能全文搜索服务器,是Apache Lucene项目的开源企业搜索平台。它提供了丰富的查询语言、可配置、可扩展的特性,并对索引、搜索性能进行了优化。近日,微步漏洞团队监测到Apache Solr 发布安
继续阅读漏洞挖掘|日常挖洞之渗透失败经历
漏洞挖掘|日常挖洞之渗透失败经历 迪哥讲事 2024-02-18 22:16 0x01 前言叙述 此次挖洞经历熟悉的配方,但是每次都是到最后一步就渗透上去了,特别难受,简单捡了几个中高危漏洞,厂商来自某IDC服务商及汽车经销,后续漏洞已提交 先查一下SEO,免得官方不收(起码也学到东西了) *本文涉及到相关漏洞已报送厂商并修复,本文仅限技术讨论和研究,严禁用于非法用途,否则产生后果自行承担** 0
继续阅读漏洞复现-WordPress HTML5 Video Player SQL注入漏洞(CVE-2024-1061)附POC
漏洞复现-WordPress HTML5 Video Player SQL注入漏洞(CVE-2024-1061)附POC Yi安全 2024-02-18 20:02 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感
继续阅读Panalog日志审计系统 libres_syn_delete.php命令执行漏洞
Panalog日志审计系统 libres_syn_delete.php命令执行漏洞 小白菜安全 小白菜安全 2024-02-18 19:19 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除
继续阅读今日更新:命令/代码执行(一)原理和基础知识—CTF训练营之Web篇
今日更新:命令/代码执行(一)原理和基础知识—CTF训练营之Web篇 看雪课程 看雪学苑 2024-02-18 17:59 今日更新 欢迎来到 《CTF训练营-Web篇》 ! 随着互联网的普及与发展,网络安全也越发成为人们关注的焦点。 而在网络安全中,Web安全无疑是其中的一个重点领域。 该课程以CTF比赛中的Web安全为核心,包含了丰富的Web安全攻击和防御知识,帮助学员了解常见的网络攻击方式并
继续阅读Jenkins RCE 漏洞目前已公布
Jenkins RCE 漏洞目前已公布 胡金鱼 嘶吼专业版 2024-02-18 14:00 Jenkins是一种开源自动化服务器,广泛用于软件开发,特别是持续集成 (CI) 和持续部署 (CD)。它在自动化软件开发过程的各个部分(例如构建、测试和部署应用程序)方面发挥着关键作用,支持着一千多个集成插件,可供各种规模的组织或大型企业使用。 SonarSource研究人员在Jenkins中发现了两个
继续阅读JDBC漏洞利用之文件读取
JDBC漏洞利用之文件读取 sule01u 黑伞安全 2024-02-18 10:45 JDBC漏洞利用之文件读取 前序 开局放上一张云舒的一条老微博截图,if 你还不知道这个图中文字啥意思,then 就跟作者一起来一探究竟吧 What is JDBC JDBC的全称是Java数据库连接(Java Database connect),它是一套用于执行SQL语句的Java API。应用程序可通过这套
继续阅读Panalog大数据日志审计系统libres_syn_delete.php存在命令执行漏洞 附POC软件
Panalog大数据日志审计系统libres_syn_delete.php存在命令执行漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-17 23:46 @[toc] Panalog大数据日志审计系统libres_syn_delete.php存在命令执行漏洞 附POC软件 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的
继续阅读smart管理平台多版本任意文件上传-CVE-2024-0939
smart管理平台多版本任意文件上传-CVE-2024-0939 小白菜安全 小白菜安全 2024-02-17 19:33 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响
继续阅读实战案例:记一次利用SpringBoot相关RCE漏洞拿下某数字化平台系统
实战案例:记一次利用SpringBoot相关RCE漏洞拿下某数字化平台系统 AlbertJay 不秃头的安全 2024-02-17 13:00 实战案例:记一次利用SpringBoot相关RCE漏洞拿下某数字化平台系统 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。 由于微信公众号推送机制改变了,快来 星标不再迷路,谢谢大家!
继续阅读CVE-2024-0918
CVE-2024-0918 原创 fgz AI与网安 2024-02-17 09:33 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 福利:小编整理了往期POC以及大量电子书和护网常用工具,在文末免费获取。 01 — 漏洞名称 TRENDnet TEW-800MB
继续阅读15000+POC漏洞扫描工具
15000+POC漏洞扫描工具 hktalent 黑客白帽子 2024-02-17 07:00 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 特性 Vulnerabilities Scan;15000+PoC漏洞扫描;[ 23 ] 种应用弱口令爆破;7000+Web指纹;146种协议90000+规则Port扫描;
继续阅读【漏洞预警】Oracle WebLogic Server 存在JNDI注入漏洞CVE-2024-20931
【漏洞预警】Oracle WebLogic Server 存在JNDI注入漏洞CVE-2024-20931 cexlife 飓风网络安全 2024-02-16 22:29 漏洞描述:Oracle WebLogic Server是一个用于构建、部署和管理企业级Java应用程序。 AQjmsInitialContextFactory 是一个允许应用程序使用JNDI查找方式访问Oracle AQ提供消息
继续阅读金盘移动图书馆系统存在任意文件上传漏洞 附POC软件
金盘移动图书馆系统存在任意文件上传漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-16 21:56 @[toc] 金盘移动图书馆系统存在任意文件上传漏洞 附POC软件 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 金盘
继续阅读CVE-2024-21412 APT(Water Hydra)-0 Day 攻击链分析
CVE-2024-21412 APT(Water Hydra)-0 Day 攻击链分析 Ots安全 2024-02-15 17:42 趋势科技零日计划发现了漏洞 CVE-2024-21412,我们将其跟踪为 ZDI-CAN-23100,并向 Microsoft 发出警报,称 Microsoft Defender SmartScreen 绕过被高级持续性威胁用作复杂的零日攻击链的一部分(我们追踪的
继续阅读微软2024年2月补丁日多个产品安全漏洞风险通告
微软2024年2月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2024-02-14 10:55 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年2月补丁日多个产品安全漏洞 影响产品 SQL Server、Microsoft Office、Windows Server 等。 公开时间 2024-02-14 影响量级 千万级 奇安信评级 高危 利用可能性 高 P
继续阅读