谷歌修复代码测试工具Bazel 中的严重供应链漏洞
谷歌修复代码测试工具Bazel 中的严重供应链漏洞 Stephen Weigand 代码卫士 2024-02-04 18:26 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌开源的软件开发工具 Bazel 中存在一个严重的供应链漏洞,可导致攻击者插入恶意代码。研究人员指出,该命令注入漏洞影响数百万个依赖于 Bazel 的项目,包括 Kubernetes、Angular、优步、Linke
继续阅读标签: SQL注入
CVE-2024-1061
CVE-2024-1061 原创 fgz AI与网安 2024-02-04 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 WordPress Plugin HTML5 Video Player 安全漏洞 02 — 漏洞影响 WordP
继续阅读赏金猎人|利用nday快速刷分挖洞篇
赏金猎人|利用nday快速刷分挖洞篇 迪哥讲事 2024-02-03 22:33 0x01 前言 首先,对于0day、1day、nday在某平台提交漏洞入口是这么说明的 0day(零日)漏洞:指软件厂商尚未发现并修复的漏洞。黑客利用这些未知漏洞进行攻击,而软件开发商还没有来得及发布补丁。 这类漏洞具有很高的危险性,因为黑客可以利用这些漏洞进行攻击,而用户和厂商很难发现并防范。一旦0day漏洞被公之
继续阅读漏洞复现-亿赛通电子文档安全管理系统 uploadfiletocatalog sql注入(附poc)
漏洞复现-亿赛通电子文档安全管理系统 uploadfiletocatalog sql注入(附poc) 原创 Y1_K1NG Yi安全 2024-02-03 20:55 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏
继续阅读【安全圈】谷歌 Bazel 面临命令注入漏洞威胁
【安全圈】谷歌 Bazel 面临命令注入漏洞威胁 安全圈 2024-02-03 19:15 关键词 黑客勒索 最近,安全研究人员在 Google 的开源项目之一,即 Bazel,中发现了一个潜在的供应链漏洞。这个漏洞涉及到 GitHub Actions 工作流程中的命令注入问题,可能导致恶意行为者将恶意代码插入 Bazel 的代码库中。 Cycode 的研究人员指出,这一问题的严重性可能对数百万项
继续阅读万户 ezoffice wf_printnum.jsp SQL注入漏洞
万户 ezoffice wf_printnum.jsp SQL注入漏洞 NT-V NightmareV 2024-02-03 13:26 声明: 请勿使用本文档提供的相关 操作及工具 开展任何违法犯罪活动 。 本技术类文档与工具仅支持学习安全技术使用,他用造成严重后果,请自行负责!!! 一、 漏洞名称 万户 ezoffice wf_printnum.jsp SQL注入漏洞 二、 产品介绍 ezof
继续阅读JAVA代码审计-任意文件上传漏洞(配套视频)
JAVA代码审计-任意文件上传漏洞(配套视频) 原创 白给 白给信安 2024-02-03 12:44 JAVA代码审计-任意文件上传漏洞 欢迎参加我们的Java代码审计课程!本课程旨在培养学员深入了解和实践Java应用程序安全性的技能,通过系统学习和实际案例分析,使学员能够识别并纠正潜在的安全漏洞。 前期回顾 之前我们已经公开了以下课程: 1. JAVA代码审计-JAVA 开发环境搭建 JAVA
继续阅读CVE-2024-0402|GitLab文件写入漏洞
CVE-2024-0402|GitLab文件写入漏洞 alicy 信安百科 2024-02-03 12:34 0x00 前言 GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。 Gitlab是被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理。 0x01 漏洞描
继续阅读CVE-2024-21626|runc容器逃逸漏洞
CVE-2024-21626|runc容器逃逸漏洞 alicy 信安百科 2024-02-03 12:34 0x00 前言 runc是一个遵循oci标准的用来运行容器的命令行工具。 runc的使用非常灵活,可以与各种容器工具和平台集成,如Docker、Kubernetes等。 0x01 漏洞描述 由于内部文件描述符泄漏,本地威胁者可以通过多种方式实现容器逃逸: 通过使新生成的容器进程(来自runc
继续阅读详细剖析某erp漏洞
详细剖析某erp漏洞 Dili 白帽子左一 2024-02-03 12:01 扫码领资料 获网安教程 深入学习Java代码审计技巧—详细剖析某erp漏洞 简介 对于Java代码审计,主要的审计步骤如下: – 确定项目技术框架、项目结构 环境搭建 配置文件的分析:如pom.xml、web.xml等,特别是pom.xml,可以从组件中寻找漏洞 Filter分析:Filter是重要的组成部分
继续阅读Shiro反序列化漏洞复现(文末领红包封面)
Shiro反序列化漏洞复现(文末领红包封面) 原创 Mall0c Cyb3rES3c 2024-02-03 11:28 0x0 声明 由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人承担,Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知,我们将立即删除相关内容并致歉。请遵守《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规。 0
继续阅读达梦启智⼤数据可视化系统(DMQZDV体验版)存在任意文件读取漏洞
达梦启智⼤数据可视化系统(DMQZDV体验版)存在任意文件读取漏洞 皓月当空w 2024-02-03 09:38 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞早知道 漏洞名称: 达梦启智⼤数据可视化系统(DMQZDV体验版)存在任意文件读取漏洞 漏洞出现时间:2024年2月1日 影响等级:低危 漏洞说明: 武汉达梦数据库股份有限公司达梦启智⼤数据可视化系统(DMQZDV体验版)存
继续阅读Ivanti 披露两个新0day,其中一个已遭利用
Ivanti 披露两个新0day,其中一个已遭利用 Sergiu Gatlan 代码卫士 2024-02-01 17:18 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今天,Ivanti 公司提醒称又有两个漏洞影响 Connect Secure、Policy Secure 和 ZTA 网关,其中一个0day 已遭活跃利用。 CVE-2024-21893是一个服务器端请求伪造漏洞,位于网关
继续阅读3月1日开班!系统0day安全-二进制漏洞攻防(第3期)
3月1日开班!系统0day安全-二进制漏洞攻防(第3期) 小雪 看雪学苑 2024-01-28 17:59 好消息!好消息! 系统0day安全-二进制漏洞攻防(第3期)火热开课啦! 想要深入了解二进制漏洞攻防的知识和实践经验吗?想要掌握模糊测试、AFL原**** 理、ASAN原理、网络协议漏洞挖掘、Linux内核漏洞挖掘、AOSP漏洞挖掘以及CodeQL代码审计等多个方面的技能吗? 预售期间享75
继续阅读HVV 溯源实例-从OA到某信源RCE全0day渗透
HVV 溯源实例-从OA到某信源RCE全0day渗透 Alivin 黑客白帽子 2024-01-27 08:00 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 来源于奇安信社区(Alivin ) 原文链接: https://forum.butian.net/share/1765 2021年国Hvv真实溯源过程,在
继续阅读金和OA-C6JHSoft-WebSQL延时注入漏洞(新接口)-漏洞挖掘
金和OA-C6JHSoft-WebSQL延时注入漏洞(新接口)-漏洞挖掘 原创 漏洞挖掘 渗透安全HackTwo 2024-01-25 00:01 0x01 产品简介 金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平
继续阅读JAVA常用组件未授权漏洞解析
JAVA常用组件未授权漏洞解析 Notadmin Hacking黑白红 2024-01-24 20:03 文章目录 前言 Druid未授权漏洞 修复建议 SwaggerUI未授权漏洞 Spring boot Actuator未授权漏洞 漏洞发现 Spring Eureka未授权访问漏洞 漏洞利用方式 漏洞危害 修复方式 总结 前言 在java项目中,经常会使用一些监控类的组件来监控系统的状态,如果
继续阅读爆多个漏洞 | Pwn2Own Automotive 2024 第一天结果
爆多个漏洞 | Pwn2Own Automotive 2024 第一天结果 原创 zh1chu 安全脉脉 2024-01-24 19:41 欢迎来到首届 Pwn2Own Automotive 活动:截至 2024 年 1 月 24 日 发文前的最新结果如下。 成功 – Sina Kheirkhah 成功执行了对 ChargePoint Home Flex 的攻击,赢得了 60,000
继续阅读广联达企业管理系统DataFile.aspx存在外部实体注入漏洞(新day)-漏洞挖掘
广联达企业管理系统DataFile.aspx存在外部实体注入漏洞(新day)-漏洞挖掘 原创 漏洞挖掘 渗透安全HackTwo 2024-01-24 00:01 0x01 产品简介 广联达科技股份有限公司作为数字建筑平台服务商,围绕工程项目的全生命周期,为客户提供数字化软硬件产品、解决方案及相关服务。公司业务面向建设方、设计方、制造厂商、供应商、施工方、运营方等。 这里 我推荐利用ZoomEye搜
继续阅读实战 | 记一次授权令牌中SQL注入漏洞挖掘
实战 | 记一次授权令牌中SQL注入漏洞挖掘 迪哥讲事 2024-01-23 23:43 记一次授权令牌中SQL注入漏洞挖掘 今天在这篇文章中,我将分享一篇关于使用授权Header(Authorization Headers token)的 SQL 注入的文章。 Authorization Headers token的一些介绍, => 授权令牌由服务器生成和签名,用于通过唯一令牌验证用户。
继续阅读【漏洞复现】Confluence 远程代码执行漏洞(CVE-2023-22527)
【漏洞复现】Confluence 远程代码执行漏洞(CVE-2023-22527) 原创 xia0chen 安全攻防屋 2024-01-23 23:10 免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 0X00 漏洞描
继续阅读Atlassian Confluence存在远程代码执行漏洞(CVE-2023-22527) 附POC软件
Atlassian Confluence存在远程代码执行漏洞(CVE-2023-22527) 附POC软件 南风徐来 南风漏洞复现文库 2024-01-23 21:38 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 大家关注一下我的另外一个
继续阅读本周更新:命令/代码执行(一)原理和基础知识 | CTF训练营之Web篇
本周更新:命令/代码执行(一)原理和基础知识 | CTF训练营之Web篇 看雪课程 看雪学苑 2024-01-23 18:03 本周更新 欢迎来到 《CTF训练营-Web篇》 ! 随着互联网的普及与发展,网络安全也越发成为人们关注的焦点。 而在网络安全中,Web安全无疑是其中的一个重点领域。 该课程以CTF比赛中的Web安全为核心,包含了丰富的Web安全攻击和防御知识,帮助学员了解常见的网络攻击方
继续阅读揭秘LIVE勒索软件利用IP-Guard漏洞的技战术
揭秘LIVE勒索软件利用IP-Guard漏洞的技战术 原创 威胁情报中心 奇安信威胁情报中心 2024-01-23 17:45 概述 奇安信威胁情报中心观察到一伙较为勤奋的勒索运营商,工作时间主要在周末,可以在物理上绕过安全人员对告警的发现。周六的时候使用一些Nday漏洞进行入侵,全天无休的进行内网信息收集,控制机器数量评估,并在周日晚上控制木马批量投递勒索软件,为了给第二天要上班的受害者一个“惊
继续阅读CVE-2024-0738漏洞挖掘过程学习
CVE-2024-0738漏洞挖掘过程学习 原创 fgz AI与网安 2024-01-22 07:03 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 应粉丝要求小编将往期poc和我在网上收集的一些poc打包分享到网盘了。同时分享了大量电子书和护网常用工具,在文末免费
继续阅读新骗术,警惕!|国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报
新骗术,警惕!|国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报 黑白之道 2024-01-21 17:23 新骗术,警惕! 网上订购了往返机票 出发后收到短信 需要改签 信以为真的市民 提供了银行账号、密码等信息 “改签”完了卡上的钱 就没了 一、骗术揭秘 “机票改签”诈骗常分三步走: 01 临行前一天收到“航班取消”短信 外省某地市民刘先生突然收到一条短信:“尊敬的某某旅客,您预定的某
继续阅读CISA发布紧急指令:Ivanti产品零日漏洞
CISA发布紧急指令:Ivanti产品零日漏洞 THN 知机安全 2024-01-21 13:26 The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Friday issued an emergency directive urging Federal Civilian Executive Branch (FC
继续阅读SpringBlade export-user SQL 注入漏洞
SpringBlade export-user SQL 注入漏洞 原创 fgz AI与网安 2024-01-21 09:50 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 SpringBlade export-user SQL 注入漏洞 02 —
继续阅读【复现】Confluence Data Center & Server 远程代码执行漏洞(CVE-2023-22527)风险通告
【复现】Confluence Data Center & Server 远程代码执行漏洞(CVE-2023-22527)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-01-20 21:22 赛博昆仑漏洞安全通告- Confluence Data Center & Server 远程代码执行漏洞(CVE-2023-22527)风险通告 漏洞描述 Confluence
继续阅读【安全圈】国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报
【安全圈】国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报 安全圈 2024-01-20 19:01 关键词 安全漏洞 近日,Oracle官方发布了多个安全漏洞的公告,其中Oracle产品本身漏洞89个,影响到Oracle产品的其他厂商漏洞169个。包括Oracle Financial Services Applications 安全漏洞(CNNVD-202401-1551、CVE-202
继续阅读