404星链计划 | 5 款全开源的免费漏洞探测工具
404星链计划 | 5 款全开源的免费漏洞探测工具 原创 404实验室 知道创宇404实验室 2023-08-03 16:43 404星链计划目前已收录60+开源项目 涵盖了甲方工具、信息收集、漏洞探测、 攻击与利用、信息分析、内网工具等多个种类 近期我们会陆续发布不同类别工具的精选专题 帮助你找到更好用更适合自己的“神兵利器” 上期回顾: 404星链计划 | 精选 10 个甲方开源安全工具 本期
继续阅读标签: SQL注入
【漏洞通告】Apache NiFi 代码注入漏洞(CVE-2023-36542)
【漏洞通告】Apache NiFi 代码注入漏洞(CVE-2023-36542) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-08-02 16:57 漏洞名称: Apache NiFi 代码注入漏洞(CVE-2023-36542) 组件名称: Apache NiFi 影响范围: 0.0.2 ≤ Apache NiFi < 1.23.0 漏洞类型: 代码注入 利用条件: 1、用户认证:
继续阅读美澳提醒注意 web 应用中的访问控制漏洞
美澳提醒注意 web 应用中的访问控制漏洞 Ionut Arghire 代码卫士 2023-08-01 17:51 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 澳大利亚网络安全中心 (ACSC) 、美国网络安全和基础设施安全局 (CISA)和美国国家安全局 (NSA) 联合发布新指南,提醒开发人员、厂商和组织机构注意 web 应用中的访问控制漏洞。 这些访问控制漏洞被称为不安全的
继续阅读命令注入漏洞CVE-2022-34527复现
命令注入漏洞CVE-2022-34527复现 伯爵的信仰 看雪学苑 2023-07-31 17:59 ◆CVE编号: CVE-2022-34527(https://www.cvedetails.com/cve/CVE-2022-34527/) ◆漏洞描述:D-Link DSL-3782 v1.03 and below was discovered to contain a command inje
继续阅读雷神众测漏洞周报2023.7.24-2022.7.30
雷神众测漏洞周报2023.7.24-2022.7.30 原创 雷神众测 雷神众测 2023-07-31 15:38 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读【安全圈】全球紧急服务通信协议曝出五个零日漏洞
【安全圈】全球紧急服务通信协议曝出五个零日漏洞 安全圈 2023-07-30 19:00 关键词 安全漏洞 研究人员近日发现,全球紧急服务使用的一种无线电通信协议存在几个严重漏洞,可能会让不法分子得以监视或操纵传输的信息。 地面集群无线电(TETRA)是一种无线电语音和数据标准,主要用于紧急服务(比如警察、消防和军队)以及一些工业环境。 多个TETRA安全通道提供密钥管理、语音和数据加密,而TET
继续阅读漏洞分析|Metabase 远程代码执行(CVE-2023-38646): H2 JDBC 深入利用
漏洞分析|Metabase 远程代码执行(CVE-2023-38646): H2 JDBC 深入利用 路人甲 GobySec 2023-07-28 15:44 G o b y 社 区 第 29 篇 技 术 分 享 文 章 全 文 共 : 10227 字 预 计 阅 读 时 间 : 2 0 分 钟 01 概述 最近 Metabase 出了一个远程代码执行漏洞(CVE-2023-38646),我们通过
继续阅读现金奖励 | 2023补天通用型漏洞专项活动第一期来啦!
现金奖励 | 2023补天通用型漏洞专项活动第一期来啦! 快乐的 补天平台 2023-07-28 15:00 通用专项活动第一期 ◆ 2 0 2 3 年07 月14 日 0 点 起 至07 月 31 日 2 3 : 5 9 止 ◆ 收取范围:web通用型漏洞 1 活动奖励A计划 1.收录范围说明 漏 洞 影 响 并 存 在 备 案 信 息 归 属 的 资 产 独立ip数在2000+ 2.漏洞等级
继续阅读Apache Jackrabbit 中存在严重的RCE漏洞
Apache Jackrabbit 中存在严重的RCE漏洞 DO SON 代码卫士 2023-07-27 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Java 平台的开源内容仓库 Apache Jackrabbit 中存在一个严重的远程代码执行漏洞 (CVE-2023-37895),可使攻击者利用 RMI 实现中一个 Java 对象反序列化问题在易受攻击系统上远程执行
继续阅读TETRA:BURST:热门无线通信系统中存在5个新漏洞
TETRA:BURST:热门无线通信系统中存在5个新漏洞 THN 代码卫士 2023-07-27 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 政府实体和关基行业广为使用的无线电通信陆地集群无线电 (TETRA) 标准中存在5个漏洞,其中包含被认为是故意预留的后门,可泄露敏感信息。 这些漏洞由荷兰公司 Midnight Blue在2021年发现但一直到现在才发布,它们被
继续阅读黑客正在利用Citrix新0day漏洞,全球超过15000个Citrix服务器易受攻击
黑客正在利用Citrix新0day漏洞,全球超过15000个Citrix服务器易受攻击 看雪学苑 看雪学苑 2023-07-25 17:59 近日,美国网络安全与基础设施安全局(CISA)警告称,黑客正在利用一个新发现的零日漏洞,针对Citrix NetScaler应用程序交付控制器(ADC)和Citrix Gateway设备实施网络攻击。 Citrix公司曾于上周提醒其客户,该漏洞(CVE-20
继续阅读好工具分享:Web漏洞fuzz神器 Arjun
好工具分享:Web漏洞fuzz神器 Arjun 枇杷五星加强版 黑伞安全 2023-07-25 17:33 Arjun HTTP Parameter Discovery Suite https://github.com/s0md3v/Arjun 我在日常src挖掘中枇杷哥常用的参数fuzz工具,参数fuzz至少赚到了几K赏金,大家可以上手试试。原理大致就是参数二分法,可以抓包看一下就懂了。 扫描单
继续阅读上周关注度较高的产品安全漏洞(20230217-20230223)
上周关注度较高的产品安全漏洞(20230217-20230223) 国家互联网应急中心CNCERT 2023-07-25 16:19 一、境外厂商产品漏洞 1、Siemens Tecnomatix Plant Simulation堆栈缓冲区溢出漏洞(CNVD-2023-56535) Siemens Tecnomatix Plant Simulation是德国西门子(Siemens)公司的工控设备,
继续阅读KCon演讲议题巡展|Tai-e: 基于程序分析的安全漏洞检测框架
KCon演讲议题巡展|Tai-e: 基于程序分析的安全漏洞检测框架 谭添 KCon 黑客大会 2023-07-25 11:46 “归源·智变” 2023年KCon黑客大会 举办时间:2023年8月19日-20日 举办地点:北京环球贸易中心·会议中心 KCon 2023 演讲议程已尘埃落定 为展示演讲议题风采 帮助大家更好地了解议题 特此开展 KCon 2023演讲议题巡展活动 欢迎朋友们围观 议题
继续阅读数百万台计算机中的固件漏洞可能使黑客获得超级用户身份
数百万台计算机中的固件漏洞可能使黑客获得超级用户身份 网络安全应急技术国家工程中心 2023-07-24 15:53 两年前,勒索软件骗子入侵了硬件制造商 Gigabyte,并泄露了超过 112 GB 的数据,其中包括来自英特尔和 AMD 等一些最重要的供应链合作伙伴的信息。 现在,研究人员警告称,泄露的信息揭示了可能构成严重零日漏洞的漏洞,可能危及计算世界的大片地区。 这些漏洞存在于位于佐治亚州
继续阅读雷神众测漏洞周报2023.07.17-2023.07.23
雷神众测漏洞周报2023.07.17-2023.07.23 原创 雷神众测 雷神众测 2023-07-24 15:47 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读命令注入漏洞CVE-2022-26258复现
命令注入漏洞CVE-2022-26258复现 伯爵的信仰 看雪学苑 2023-07-23 17:59 ◆CVE编号:CVE-2022-26258 ◆漏洞描述:D-Link DIR-820L 1.05B03 was discovered to contain remote command execution (RCE) vulnerability via HTTP POST to get set c
继续阅读AMI MegaRAC BMC 软件存在多个严重漏洞,可触发供应链攻击
AMI MegaRAC BMC 软件存在多个严重漏洞,可触发供应链攻击 THN 代码卫士 2023-07-21 18:26 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 AMI MegaRAC Baseboard Management Controller (BMC) 软件中存在两个漏洞,可用于远程访问易受攻击的服务器并部署恶意软件。 Eclypsium 公司的研究员 Vlad B
继续阅读CNNVD通报Oracle多个安全漏洞
CNNVD通报Oracle多个安全漏洞 安全牛 2023-07-21 12:24 近日, CN NVD通报Oracle多个安全漏洞,其中Oracle产品本身漏洞60个,影响到Oracle产品的其他厂商漏洞247个。包括Oracle Application Express 安全漏洞(CNNVD-202307-1575、CVE-2023-21975)、Oracle Application Expres
继续阅读现金奖励| 2023补天通用型漏洞专项活动第一期来啦!
现金奖励| 2023补天通用型漏洞专项活动第一期来啦! 快乐的 补天平台 2023-07-21 11:18 通用专项活动第一期 ◆ 2 0 2 3 年07 月14 日 0 点 起 至07 月 31 日 2 3 : 5 9 止 ◆ 收取范围:web通用型漏洞 1 活动奖励A计划 1.收录范围说明 漏 洞 影 响 并 存 在 备 案 信 息 归 属 的 资 产 独立ip数在2000+ 2.漏洞等级 高
继续阅读2023攻防演练必修高危漏洞集合
2023攻防演练必修高危漏洞集合 原创 漏洞情报中心 斗象智能安全 2023-07-19 18:03 高危风险漏洞一直是企业网络安全防护的薄弱点,也成为攻防演练期间红队的重要突破口; 每年攻防演练期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。 攻防演练在即,斗象科技情报中心依托漏洞盒子的海量漏洞数据、情报星
继续阅读Google Cloud Build 漏洞可使黑客发动供应链攻击
Google Cloud Build 漏洞可使黑客发动供应链攻击 Sergiu Gatlan 代码卫士 2023-07-19 17:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也
继续阅读霍尼韦尔 Experion DCS 和 QuickBlox 服务中存在多个严重漏洞
霍尼韦尔 Experion DCS 和 QuickBlox 服务中存在多个严重漏洞 THN 代码卫士 2023-07-17 17:41 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Armis 公司的研究人员在霍尼韦尔 (Honeywell) Experion DCS 平台上发现了9个漏洞,如遭成功利用可导致受影响系统遭严重攻陷。这9个漏洞被统称为 “Crit.IX”。 这些漏洞可
继续阅读雷神众测漏洞周报2023.07.10-2023.07.16
雷神众测漏洞周报2023.07.10-2023.07.16 原创 雷神众测 雷神众测 2023-07-17 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读被大肆利用的漏洞导致数百个太阳能发电站面临威胁
被大肆利用的漏洞导致数百个太阳能发电站面临威胁 关键基础设施安全应急响应中心 2023-07-17 14:27 太阳能发电厂内数百个暴露在互联网上的设备仍然没有针对一个被大肆利用的严重漏洞打上补丁,该漏洞使得远程攻击者轻而易举就能破坏设施运行或在设施内潜伏下来。 这种设备由日本大阪的康泰克(Contec)公司销售,冠以SolarView品牌,可以帮助太阳能发电厂内的人员监测产生、储存和分配的电量。
继续阅读SonicWall紧急提醒:速修复多个严重的认证绕过漏洞!
SonicWall紧急提醒:速修复多个严重的认证绕过漏洞! Sergiu Gatlan 代码卫士 2023-07-13 18:22 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 今天,SonicWall 紧急提醒客户修复影响 Global Management System (GMS) 防火墙和 Analytics 网络报告引擎软件套件的多个严重漏洞。 Sonicwall 公司今天
继续阅读SonicWall GMS/Analytics 多个高危漏洞安全风险通告
SonicWall GMS/Analytics 多个高危漏洞安全风险通告 奇安信 CERT 2023-07-13 16:58 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 SonicWall GMS/Analytics多个高危漏洞 漏洞编号 CVE-2023-34133、CVE-2023-34124、CVE-2023-34137 公开时间 2023-07-12 影响对象数量级
继续阅读【已复现】泛微E-Cology XML外部实体注入漏洞安全风险通告
【已复现】泛微E-Cology XML外部实体注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-07-13 16:58 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 泛微E-Cology XML外部实体注入漏洞 漏洞编号 QVD-2023-16177 公开时间 2023-07-11 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 9.4
继续阅读风险提示|泛微OA e-cology XXE 漏洞
风险提示|泛微OA e-cology XXE 漏洞 长亭安全应急响应 黑伞安全 2023-07-13 08:14 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。近期,长亭科技监测到泛微官方发布了新补丁修复了一处XXE漏洞。长亭应急团队经过分析后发现该漏洞类型为XXE,仍有较多公网系统仍未修复漏洞。长亭应急响应实验室根据漏洞原理编写了X-
继续阅读知名金融科技公司漏洞遭利用,近1.5亿元资金失窃
知名金融科技公司漏洞遭利用,近1.5亿元资金失窃 安全内参编译 安全内参 2023-07-11 15:59 关注我们 带你读懂网络安全 Revolut公司的支付系统存在漏洞,在特定交易环节会错误向用户账户退款,且风控能力不足,该漏洞遭利用数月,直到公司合作银行发出警告才发现问题。 前情回顾·金融业网络威胁态势 – 美国财政部:2021年金融机构因勒索攻击损失超12亿美元 银行人脸识别系
继续阅读