Web安全进阶:漏洞分析与防范实战技巧
Web安全进阶:漏洞分析与防范实战技巧 IT阅读排行榜 亿人安全 2025-01-03 08:29 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景
继续阅读标签: RCE
【文末抽奖】看完这篇《Web漏洞分析与防范实战》成为Web大神!
【文末抽奖】看完这篇《Web漏洞分析与防范实战》成为Web大神! 落寞的魚丶 鱼影安全 2025-01-03 08:18 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大
继续阅读文件读取漏洞实战利用
文件读取漏洞实战利用 WIN哥学安全 2025-01-03 06:50 点击上方蓝字关注我们 申明:文章仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关。 本文由subjcw师傅发表在奇安信攻防社区 文章地址:https://forum.butian.net/share/4017 Nginx配置文件利用 第一处文件读取,严
继续阅读LDAPNightmare:SafeBreach Labs 发布了 CVE-2024-49113 的第一个概念验证漏洞
LDAPNightmare:SafeBreach Labs 发布了 CVE-2024-49113 的第一个概念验证漏洞 Ots安全 2025-01-03 06:49 作者:Or Yair,安全研究团队负责人 | Shahak Morag,研究负责人 Active Directory 域控制器 (DC) 被视为组织计算机网络中的珍宝之一。在 DC 中发现的漏洞通常比在普通工作站中发现的漏洞更为严重。
继续阅读针对Windows LDAP 零点击 RCE 漏洞的 PoC 利用工具发布
针对Windows LDAP 零点击 RCE 漏洞的 PoC 利用工具发布 会杀毒的单反狗 军哥网络安全读报 2025-01-03 01:01 导读 研究人员公布了针对 Windows 轻量级目录访问协议 (LDAP) 中一个严重漏洞的概念验证 (PoC) 代码,该漏洞编号为CVE-2024-49112。 微软于 2024 年 12 月 10 日补丁日更新中披露了该漏洞,其 CVSS 严重性评分为
继续阅读指导手册 | Web漏洞分析与防范实战
指导手册 | Web漏洞分析与防范实战 新书速递→ WK安全 2025-01-03 00:51 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景下,
继续阅读开源代码漏洞扫描器 OSV-Scanner 新增修复和离线功能
开源代码漏洞扫描器 OSV-Scanner 新增修复和离线功能 原创 SenderSu wavecn 2025-01-03 00:14 要防范软件供应链攻击,自动化扫描工具必不可少。OSV-Scanner 这个开源代码漏洞扫描器,以及支持该扫描器的漏洞数据库 osv.dev 在推出的当时就有点及时雨的意思。 之前笔者对 OSV-Scanner 已经做了介绍和功能跟踪。最新版本(本文为1.9.2)增
继续阅读【渗透书籍推荐】《Web漏洞分析与防范实战》丨文末参与抽奖免费赠书!!
【渗透书籍推荐】《Web漏洞分析与防范实战》丨文末参与抽奖免费赠书!! 新书速递→ 网络安全007 2025-01-03 00:01 文末扫码参与抽奖! 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全
继续阅读【漏洞复现】朗速ERP后台管理系统FileUploadApi接口文件存在文件上传漏洞||附POC
【漏洞复现】朗速ERP后台管理系统FileUploadApi接口文件存在文件上传漏洞||附POC FL_Clover 网络安全007 2025-01-03 00:01 漏洞介绍 在当今复杂多变的网络安全环境中,朗速ERP后台管理系统中的FileUploadApi接口文件存在文件上传漏洞,攻击者可利用该漏洞上传恶意文件,进而控制服务器或窃取企业敏感信息。为保障系统安全,请尽快对该接口进行修复,并加强
继续阅读代码审计 – MCMS v5.4.1 0day挖掘
代码审计 – MCMS v5.4.1 0day挖掘 船山信安 2025-01-02 18:00 一、前言 MingSoft MCMS 是中国铭飞 (MingSoft) 公司的一个完整开源的 J2ee 系统,可以到 Github 下载到源码,官网 铭软・铭飞官网・低代码开发平台・免费开源Java Cms 笔者针对 MCMS v5.4.1 进行代码审计,发现存在一个后台 uploa
继续阅读防范XXE漏洞:XXE攻击详解与应对策略
防范XXE漏洞:XXE攻击详解与应对策略 原创 todobest SDL安全 2025-01-02 11:48 一、XXE 漏洞概述 XML(可扩展标记语言)是一种用于标记电子文件的结构化语言,它能够对数据进行标记并定义数据类型。XML允许用户自定义标记语言,因此在数据交换和存储中被广泛使用。 1.1 XML 文档结构 XML文档的基本结构包括以下几个部分: 1. XML 声明 :指定 XML 的
继续阅读Hyper-V拒绝服务漏洞CVE-2024-43633分析
Hyper-V拒绝服务漏洞CVE-2024-43633分析 王cb 看雪学苑 2025-01-02 10:02 这篇文章的目的是介绍今年11月发布的的Hyper-V拒绝服务漏洞CVE-2024-43633分析。文章结合了逆向代码和调试结果分析了CVE-2024-43633漏洞利用过程和漏洞成因。 复现环境 Win11 23h2 Win11 22h2 CVE-2024-43633漏洞分析 CVE-2
继续阅读新书推荐《Web漏洞分析与防范实战》
新书推荐《Web漏洞分析与防范实战》 Web安全工具库 2025-01-02 08:32 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景下,网络安
继续阅读研究漏洞方法指南 | Web漏洞分析与防范实战
研究漏洞方法指南 | Web漏洞分析与防范实战 新书速递→ 湘安无事 2025-01-02 08:28 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的
继续阅读[武器库]-WExploit漏洞综合利用工具
[武器库]-WExploit漏洞综合利用工具 qianbenhyu 小肥羊安全 2025-01-02 07:02 0x00 免责说明 免责声明:由于传播、利用本公众号所提供的信息而造成的直接或者间接损失,均由使用者本人负责。请遵守法律法规和行业道德。 0x01 about 一款基于java开发的漏洞检测工具,集合了S2,ThinkPHP,红帆,万户,蓝凌,帆软,泛微,用友,大华漏洞等,框架使用:
继续阅读【漏洞通告】Perl 安全漏洞
【漏洞通告】Perl 安全漏洞 安迈信科应急响应中心 2025-01-02 06:33 01 漏洞概况 Perl是PERL社区的一款通用、解释型、动态的跨平台编程语言。Perl 0.13之前版本存在安全漏洞,该漏洞源于Crypt::Random::Source 包会回退到内置的 rand 函数,该函数并不是一个安全的随机位源。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Perl 安全
继续阅读【Exp】古河大佬发现的 Ldap(CVE-2024-49112) 漏洞出现 Exp了,0-click
【Exp】古河大佬发现的 Ldap(CVE-2024-49112) 漏洞出现 Exp了,0-click 独眼情报 2025-01-02 06:07 之前发过消息。 古河大佬发现的最新漏洞:Windows LDAP RCE漏洞(9.8) SafeBreach Labs研究人员开发了一个零点击概念验证漏洞利用程序,可以通过Windows轻量级目录访问协议(LDAP)远程代码执行漏洞使未打补丁的Wind
继续阅读山石说AI|突破模糊测试极限:大模型驱动的软件漏洞深度挖掘
山石说AI|突破模糊测试极限:大模型驱动的软件漏洞深度挖掘 原创 山石网科 山石网科新视界 2025-01-02 06:00 【山石说AI】•第15篇 大模型在网络安全中的最新应用进展(四) 软件漏洞的发现向来是一场与时间的赛跑,而大模型的引入为模糊测试注入了全新的智慧动力。跳脱传统随机变异的局限,大模型精准的语言和逻辑推理能力正重新定义模糊测试的效率与深度,助力安全团队快速定位潜在威胁,为软件安
继续阅读ysoSimple:简易的Java漏洞利用工具,集成Java、Hessian、XStream、Shiro550反序列化等
ysoSimple:简易的Java漏洞利用工具,集成Java、Hessian、XStream、Shiro550反序列化等 B0T1eR 夜组安全 2025-01-02 00:11 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
继续阅读还在手撸 POC?这个 AI 脚本让你直接起飞!
还在手撸 POC?这个 AI 脚本让你直接起飞! 原创 泰阿安全实验室 泰阿安全实验室 2025-01-01 14:29 前言 好久不见,各位朋友们.恰逢新的一年,送个小见面礼给各位,以弥补长期未更新的错.兜兜转转已经3-4年过去了,看着公众号后台有人关注亦有人取关,何尝不是人生百态.新的一年我会重新分配精力在公众号上分享更优质的内容给关注的朋友们.更多会是倾向AI 安全,AI 工作流,AI 编程
继续阅读专题丨低空经济网络和数据安全风险分析研究
专题丨低空经济网络和数据安全风险分析研究 泛安全 2025-01-01 14:04 ※ 信息社会政策探究的思想库 ※ ※ 信息通信技术前沿的风向标 ※ 作者简介 **张洋 工业互联网创新中心(上海)有限公司行业研究员,主要从事数据安全、个人数据保护、数据空间等方面的研究工作。 论文引用格式: 张洋. 低空经济网络和数据安全风险分析研究[J]. 信息通信技术与政策, 2024, 50(11)
继续阅读PWN入门:三打竞态条件漏洞-DirtyCOW
PWN入门:三打竞态条件漏洞-DirtyCOW 福建炒饭乡会 看雪学苑 2025-01-01 10:00 从动态链接库加载机制时,我们就知道了一个事情,Linux会将需要初始化操作推迟到真正使用时才会初始化,而不是在准备阶段就直接进行所有的初始化操作。 这一点也体现在进程的使用过程当中。 首先,上面提到过进程创建时会先复制父进程的内容然后再进行修改,然后就是假如我们通过strace追踪进程时会发现
继续阅读信息安全漏洞周报(2024年第53期)
信息安全漏洞周报(2024年第53期) 原创 CNNVD CNNVD安全动态 2024-12-31 13:24 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周2024年12月23日至2024年12月29日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞568个。 接报漏洞情况 本周CNNVD接报漏洞55928个,其中信息技术产品漏洞(通用型漏洞)
继续阅读pwnobd:一款针对OBD-II设备的漏洞分析与渗透测试工具
pwnobd:一款针对OBD-II设备的漏洞分析与渗透测试工具 Alpha_h4ck FreeBuf 2024-12-31 10:59 关于pwnobd pwnobd是一款针对OBD-II设备的漏洞分析与渗透测试工具,该工具基于纯Python开发,可以帮助广大研究人员对OBD-II设备执行安全分析。 工具要求 Python 3 工具安装 由于该工具基于Python 3开发,因此我们首先需要在本地设
继续阅读WordPress Wux-Blog-Editor 插件存在前台越权漏洞(直接成为管理员) CVE-2024-9932
WordPress Wux-Blog-Editor 插件存在前台越权漏洞(直接成为管理员) CVE-2024-9932 原创 Mstir 星悦安全 2024-12-31 04:25 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Wux-Blog-Editor 是在一个地方编辑来自所有不同WordPress网站的帖子和页面的插件 0x01 漏洞分析&复现 位于 /wp-conten
继续阅读CVE-2024-52046 Apache MINA反序列化漏洞
CVE-2024-52046 Apache MINA反序列化漏洞 云梦安全 2024-12-31 03:52 漏洞描述 Apache MINA 中的 ObjectSerializationDecoder 使用 Java 的原生反序列化协议来处理传入的序列化数据,但缺乏必要的安全检查和防御。 此漏洞允许攻击者通过发送特制的恶意序列化数据来利用反序列化过程,从而可能导致远程代码执行 (RCE) 攻击。
继续阅读Telegram小小0day-查询任意手机号码
Telegram小小0day-查询任意手机号码 原创 安全路人A 军机故阁 2024-12-31 03:02 年底了,更新一直不稳定,分享给大家一个情报角度下tg的小0day,其实主要原因是看到已经有很多国内外在用这个点了,所以这个点才能分享出来。效果是查询使用新版本tg的任意手机号对应的tg账号信息。有需要的可以看看。 今年4月因为tg rce 0day问题,tg更新了一个大版本,这版本有个不算
继续阅读53套.NET系统漏洞威胁情报(12.31更新)
53套.NET系统漏洞威胁情报(12.31更新) 专攻.NET安全的 dotNet安全矩阵 2024-12-31 00:28 53 某速ERP系统文件上传漏洞 53.1 漏洞概述 某 速ERP管理系统File.ashx存在任意文件上传漏洞 POST /Api/File**.ashx?method=**Upload HTTP/1.1Host: User-Agent: Mozilla/5.0 (Mac
继续阅读CVE-2024-42327:Zabbix SQL注入漏洞分析漏洞分析
CVE-2024-42327:Zabbix SQL注入漏洞分析漏洞分析 船山信安 2024-12-30 18:00 漏洞简介 Zabbix 是一款开源的网络监控和报警系统,用于监视网络设备、服务器和应用程序的性能和可用性。 攻击者可以通过API接口,向 user.get API端点发送恶意构造的请求,注入SQL代码,以实现权限提升、数据泄露或系统入侵。 影响版本 6.0.0 <= Zabbi
继续阅读网安瞭望台第19期:D-Link 路由器网页管理界面漏洞,攻击者可获取设备访问权限
网安瞭望台第19期:D-Link 路由器网页管理界面漏洞,攻击者可获取设备访问权限 原创 扬名堂 东方隐侠安全团队 2024-12-30 15:50 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 HIPAA 规则:要求 72 小时数据恢复与年度合规审计 2024 年 12 月 30 日,拉维・拉克什马南报道了一则关乎
继续阅读