爬虫漏洞活动,翻倍奖励长期有效
爬虫漏洞活动,翻倍奖励长期有效 美团安全应急响应中心 2023-08-28 10:00 爬虫漏洞特别奖励 01 时间范围 爬虫漏洞收取时间不限制,奖励长期有效,欢迎大家来美团SRC提交相关漏洞。 02**** 业务范围 优选、酒店、外卖、超市便利、买药 03**** 奖励方案 所有符合标准的爬虫漏洞,可获得二倍安全币奖励 04**** 漏洞有效标准及评级 【优选】 *漏洞有效标准 真机/模拟器或者
继续阅读标签: SQL注入
CVE-2021-4034分析
CVE-2021-4034分析 /x01 看雪学苑 2023-08-26 17:59 在 polkit 的 pkexec 工具中发现的本地权限升级漏洞,pkexec 应用程序是一个 setuid 工具,旨在允许非特权用户按照预定义策略以特权用户身份运行命令。当前版本的 pkexec 无法正确处理调用参数个数,并试图将环境变量作为命令执行。攻击者可以利用这一点,精心设计环境变量,诱使 pkexec
继续阅读命令注入漏洞CVE-2023-27216复现
命令注入漏洞CVE-2023-27216复现 伯爵的信仰 看雪学苑 2023-08-24 17:59 ◆CVE编号:CVE-2023-27216 ◆漏洞描述:An issue found in D-Link DSL-3782 v.1.03 allows remote authenticated users to execute arbitrary code as root via the netw
继续阅读Apache Ivy 注入漏洞可导致攻击者提取敏感数据
Apache Ivy 注入漏洞可导致攻击者提取敏感数据 代码卫士 2023-08-23 18:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Apache Ivy 中存在一个 XPath 盲注漏洞,可导致攻击者提取数据并访问仅限运行 Apache Ivy 的机器访问的敏感信息。 该漏洞位于 Apache Ivy 2.5.2以下版本中,当解析自身配置 Maven POMs时同时解
继续阅读上周关注度较高的产品安全漏洞(20230814-20230820)
上周关注度较高的产品安全漏洞(20230814-20230820) 国家互联网应急中心CNCERT 2023-08-22 16:12 一、境外厂商产品漏洞 1、Adobe Acrobat Reader越界读取漏洞(CNVD-2023-62945) Adobe Acrobat Reader是美国奥多比(Adobe)公司的一款PDF查看器。该软件用于打印,签名和注释PDF。Adobe Acrobat
继续阅读对SugarCRM零日漏洞(CVE-2023-22952)的防御
对SugarCRM零日漏洞(CVE-2023-22952)的防御 xiaohui 嘶吼专业版 2023-08-22 12:00 SugarCRM 零日身份验证绕过和远程代码执行漏洞(CVE-2023-22952)像是一个典型的漏洞。因为它是一个web应用程序,如果没有正确配置或保护,幕后的基础设施可以允许攻击者增加其影响。当攻击者了解云服务提供商使用的底层技术时,如果他们能够获得对具有正确权限的凭
继续阅读【干货】HW2023POC收集
【干货】HW2023POC收集 红蓝攻防实验室 暗影安全 2023-08-20 12:58 *> *免责声明 技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其
继续阅读PowerShell 多个漏洞可引发供应链攻击,微软说修了但仍可复现?!
PowerShell 多个漏洞可引发供应链攻击,微软说修了但仍可复现?! THN 代码卫士 2023-08-18 18:20 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 PowerShell Gallery 中存在多个漏洞,可触发针对注册表用户的供应链攻击。 Aqua 安全公司的研究员 Mor Weinberger、Yakir Kadkoda和 IIay Goldman 在报告中
继续阅读【安全圈】红队发现关键漏洞,可远程控制ATM机
【安全圈】红队发现关键漏洞,可远程控制ATM机 安全圈 2023-08-16 19:01 关键词 安全漏洞 2023年年初,Synack Red Team (SRT) 成员 Neil Graves、Jorian van den Hout 和 Malcolm Stagg 发现了CVE-2023-33871、CVE-2023-38257、CVE-2023-35763 和 CVE-2023-35189
继续阅读红队发现关键漏洞,可远程控制ATM机
红队发现关键漏洞,可远程控制ATM机 网络安全应急技术国家工程中心 2023-08-16 14:58 2023年年初,Synack Red Team (SRT) 成员 Neil Graves、Jorian van den Hout 和 Malcolm Stagg 发现了CVE-2023-33871、CVE-2023-38257、CVE-2023-35763 和 CVE-2023-35189 漏洞
继续阅读潜伏于数据中心的威胁-电源管理软件漏洞可导致关机、恶意软件横行和隐蔽数字间谍活动
潜伏于数据中心的威胁-电源管理软件漏洞可导致关机、恶意软件横行和隐蔽数字间谍活动 网络安全应急技术国家工程中心 2023-08-16 14:58 数据中心是为现代生活各个方面提供动力的最关键组件之一,但这些大型设施也很容易受到黑客的攻击,黑客可能会通过电源管理系统的缺陷来破坏它们。在DEF CON 2023安全会议期间,网络安全公司Trellix的研究人员披露了数据中心常用应用程序中的漏洞,这些漏
继续阅读从命令注入到空指针:IoT漏洞的挖掘
从命令注入到空指针:IoT漏洞的挖掘 原创 wh1tep0et 白帽100安全攻防实验室 2023-08-16 11:54 Dlink DIR-816 命令注入漏洞 Overview 厂商网址:https://www.dlink.com/ 固件下载地址:http://support.dlink.com.cn:9000/ProductInfo.aspx?m=DIR-816 Vulnerability
继续阅读关于企业移动办公场景下如何管控数据安全的杂谈暨近期漏洞情报共享|总第202周
关于企业移动办公场景下如何管控数据安全的杂谈暨近期漏洞情报共享|总第202周 群秘 君哥的体历 2023-08-16 11:01 0x1本周话题TOP1 话题:有了移动办公、im办公,信息安全人员真的能管理控制企业的数据安全吗?监守自盗、违规操作,信息安全能防住吗?要为此承担责任吗? A1:安全只能提高操作门槛,避免批量泄露机会,不能彻底防止。手机上都能看到了,回家慢慢抄也可以。 安全不是风
继续阅读【安全圈】英特尔CPU被曝存在重大安全漏洞,可窃取加密秘钥和机密数据!
【安全圈】英特尔CPU被曝存在重大安全漏洞,可窃取加密秘钥和机密数据! 安全圈 2023-08-12 19:00 关键词 安全漏洞 今日,谷歌的一位高级研究科学家利用一个漏洞设计了一种新的CPU攻击方法,该漏洞可影响多个英特尔微处理器系列,并允许窃取密码、加密密钥以及共享同一台计算机的用户的电子邮件、消息或银行信息等私人数据。 该漏洞被追踪为CVE-2022-40982,是一个瞬态执行侧通道问题,
继续阅读【安全圈】EoL-Zyxel 路由器五年前的漏洞仍在被利用
【安全圈】EoL-Zyxel 路由器五年前的漏洞仍在被利用 安全圈 2023-08-11 19:01 关键词 安全漏洞 Bleeping Computer 网站消息,Gafgyt 恶意软件正积极利用 Zyxel P660HN-T1A 路由器五年前曝出的漏洞,每天发动数千次网络攻击活动。据悉,漏洞被追踪为 CVE-2017-18368,是路由器设备远程系统日志转发功能中存在的严重性未验证命令注入漏洞
继续阅读D-Link Go-RT-AC750命令注入漏洞复现
D-Link Go-RT-AC750命令注入漏洞复现 伯爵的信仰 看雪学苑 2023-08-11 18:01 前面的复现都是以CVE编号为主的复现,这次换个方式,以路由器型号为单位进行复现。本次复现的命令注入漏洞都是D-Link Go-RT-AC750中存在的漏洞,目前一共有五个: 在对D-Link Go-RT-AC750命令注入漏洞复现前先了解一些背景知识,主要是CGI和UPnP。 2.1 CG
继续阅读严重的AMI MegaRAC漏洞让黑客可以瞬间使高危服务器成废砖
严重的AMI MegaRAC漏洞让黑客可以瞬间使高危服务器成废砖 关键基础设施安全应急响应中心 2023-08-11 15:31 近日,知名软硬件公司American Megatrends International(安迈,简称AMI)开发的MegaRAC基带管理控制器(BMC)软件曝出了两个新的严重漏洞。BMC是一种微型计算机,焊接到了服务器的主板上,使云中心及其客户可以简化远程管理大批计算机的
继续阅读【漏洞预警】通达OA SQL注入漏洞威胁通告
【漏洞预警】通达OA SQL注入漏洞威胁通告 安识科技 SecPulse安全脉搏 2023-08-10 09:59 1. 通告信息 近日,安识科技 A-Team团队监测到通达OA存在两个SQL注入漏洞(CVE-2023-4165和CVE-2023-4166),CVSSv3评分均为5.5,目前这些漏洞的PoC已公开。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受
继续阅读IAST技术专栏 | IAST下基于请求调用链的漏洞验证方案及其问题
IAST技术专栏 | IAST下基于请求调用链的漏洞验证方案及其问题 原创 火线安全 火线安全平台 2023-08-09 18:43 IAST 工作原理 首先这里的 IAST 指的是被动插桩模式的 IAST,流量式的 IAST 本质上还是 DAST。 IAST 的工作原理即在正常的功能测试过程中,或触发普通的测试流量时,采集请求中的污点传播链路及其相关信息,然后基于污点关联算法进行漏洞检测。 这个
继续阅读2023攻防演练必修高危漏洞合集(3.0版)
2023攻防演练必修高危漏洞合集(3.0版) 漏洞情报中心 斗象智能安全 2023-08-09 11:50 今天,2023年攻防演练正式开启!斗象科技针对之前发布的《2023HW必修高危漏洞集合(1.0)》 及《2023HW必修高危漏洞集合(2.0)》 进行查漏补缺,并对近两年在攻防演练过程红队利用率比较高的漏洞做了总结汇总, 输出 《2023攻防演练必修高危漏洞合集(3.0版)》 。 与前两版报
继续阅读上周关注度较高的产品安全漏洞(20230731-20230806)
上周关注度较高的产品安全漏洞(20230731-20230806) 国家互联网应急中心CNCERT 2023-08-08 16:03 一、境外厂商产品漏洞 1、Siemens SIMATIC CN 4100默认权限不正确漏洞 Siemens SIMATIC CN 4100是德国西门子(Siemens)公司的一个通信节点。Siemens SIMATIC CN 4100 2.5版本之前存在安全漏洞,该
继续阅读【安全圈】黑客组织Clop发动零时差漏洞攻击,近600家企业遭殃
【安全圈】黑客组织Clop发动零时差漏洞攻击,近600家企业遭殃 安全圈 2023-08-07 19:00 关键词 漏洞攻击 勒索软体黑客组织Clop发起MFT档案共享系统MOVEit Transfer零时差漏洞攻击,近六百家企业机构遭殃,亦有部分组织因IT服务供应商遭受攻击而受害,且规模持续扩大。 这起事故发生迄今快2个月,从当初指出攻击者的身份,到黑客组织坦诚犯案、公布受害组织名单,后来则有部
继续阅读【漏洞通告】通达OA SQL注入漏洞(CVE-2023-4166)
【漏洞通告】通达OA SQL注入漏洞(CVE-2023-4166) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-08-07 17:29 漏洞名称: 通达OA SQL注入漏洞(CVE-2023-4166) 组件名称: 通达OA 影响范围: 通达OA v11 < 11.10 漏洞类型: 远程代码执行 利用条件: 1、用户认证:否 2、前置条件:无 3、触发方式:远程 综合评价: <
继续阅读腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-08-07 10:15 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年7月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读CISA公布了2022年最常被利用的12个漏洞
CISA公布了2022年最常被利用的12个漏洞 看雪学苑 看雪学苑 2023-08-04 17:59 8月3日,美国网络安全与基础设施安全局CISA、国家安全局NSA和联邦调查局FBI,联合五眼联盟的其他各国网络安全机构,公布了2022年最常被利用的top 12漏洞。 这份联合发布的网络安全咨询公告上写道:“2022年,相比最近披露的漏洞,攻击者更倾向于利用较旧的软件漏洞,并针对未打补丁的互联网系
继续阅读Milesight 工业路由器受数十个RCE漏洞影响
Milesight 工业路由器受数十个RCE漏洞影响 Ionut Arghire 代码卫士 2023-08-04 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 思科 Talos 安全研究人员提醒称,数十个漏洞影响Milesight UR32L 工业路由器,可被用于执行任意代码或命令。 UR32L 是一款高性价比解决方案,提供 WCDMA 和 4G LTE 支持、以太网端
继续阅读【漏洞通告】Metabase远程代码执行漏洞(CVE-2023-37470)
【漏洞通告】Metabase远程代码执行漏洞(CVE-2023-37470) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-08-04 15:16 漏洞名称: Metabase远程代码执行漏洞(CVE-2023-37470) 组件名称: Metabase 影响范围: Metabase Open Source < 0.46.6.4 Metabase Open Source < 0.
继续阅读上周关注度较高的产品安全漏洞(20230724-20230730)
上周关注度较高的产品安全漏洞(20230724-20230730) 深信服千里目安全技术中心 2023-08-04 15:16 一、境外厂商产品漏洞 1、IBM DB2拒绝服务漏洞(CNVD-2023-58522) IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM DB2存在
继续阅读【漏洞预警】Apache NiFi 代码注入漏洞漏洞威胁通告
【漏洞预警】Apache NiFi 代码注入漏洞漏洞威胁通告 安识科技 SecPulse安全脉搏 2023-08-04 10:02 1. 通告信息 近日, 安识科技A-Team团队 监测到一则Apache NiFi组件存在代码注入漏洞的信息,漏洞编号:CVE-2023-36542,漏洞威胁等级:中危。 该漏洞是由于 Apache NiFi 0.0.2至1.22.0版本中包含支持HTTP URL引用
继续阅读2023攻防演练必修高危漏洞集合(2.0版)
2023攻防演练必修高危漏洞集合(2.0版) 漏洞情报中心 斗象智能安全 2023-08-03 17:50 继7月19日推出👉《2023攻防演练必修高危漏洞集合》 之后,斗象科技漏洞情报中心继续依托漏洞盒子的海量漏洞数据、情报星球社区的一手漏洞情报资源以及Freebuf安全门户的安全咨询,不断对高危漏洞进行分析整合,并于近期输出 《2023攻防演练必修高危漏洞集合(2.0版)》 。 高危风险漏洞一
继续阅读