WLAN协议曝重大设计漏洞,可劫持web流量
WLAN协议曝重大设计漏洞,可劫持web流量 网络安全应急技术国家工程中心 2023-03-31 15:19 东北大学的网络安全研究人员在IEEE 802.11无线局域网协议标准中发现了一个设计漏洞,攻击者可欺骗接入点以明文形式泄漏网络帧。 WLAN帧是由标头、数据有效负载和尾部组成的数据容器,其中包括源和目标MAC地址、控制和管理数据等信息。这些帧按队列排序受控传输,以避免碰撞冲突,并通过监视接
继续阅读标签: SQL注入
WiFi协议曝出漏洞,攻击者可以轻松劫持网络流量
WiFi协议曝出漏洞,攻击者可以轻松劫持网络流量 布加迪 嘶吼专业版 2023-03-31 12:01 网络安全研究人员近日在IEEE 802.11 WiFi协议标准的设计中发现了一个基本的安全漏洞,这个漏洞让攻击者可以诱骗接入点泄露明文格式的网络帧。 WiFi网络帧如同数据容器,由报头、数据载荷和报尾组成,含有源和目的地MAC地址、控制和管理数据之类的信息。 这些帧在队列中排序,在受控制的材料中
继续阅读【恶意文件】Magniber勒索软件借助微软的漏洞实施攻击
【恶意文件】Magniber勒索软件借助微软的漏洞实施攻击 深盾研究实验室 深信服千里目安全技术中心 2023-03-30 19:33 恶意家族名称: Magniber 威胁类型: 勒索软件 简单描述: Magniber勒索家族的前身是Cerber,至少从2021年10月已经开始活跃,最初主要针对韩国,从今年年初开始,该组织日益活跃,攻击范围开始遍布全球,包括中国大陆、中国台湾、中国香港、马来西亚
继续阅读【漏洞预警】Apache Fineract SQL注入漏洞
【漏洞预警】Apache Fineract SQL注入漏洞 安识科技 SecPulse安全脉搏 2023-03-30 11:58 1. 通告信息 近日, 安识科技 A-Team团队 监测到一则 Apache Fineract SQL注入漏洞的信息,漏洞编号:CVE-2023-25196,漏洞威胁等级:高危。 Apache Fineract是用于金融服务的开源软件,旨在实现金融机构强大、可扩展和安全
继续阅读WiFi 协议漏洞可用于劫持网络流量
WiFi 协议漏洞可用于劫持网络流量 Bill Toulas 代码卫士 2023-03-29 18:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司的研究员在 IEEE 802.11 WiFi 协议标准中发现一个根本性漏洞,可导致攻击者诱骗访问点以明文形式泄漏网络框架。 WiFi 框架是由表头、数据payload 和封装尾组成的数据容器,包括的信息有源和目的MAC地址、控制
继续阅读原创 | Spring Cloud GateWay CVE-2022-22947 SPEL RCE
原创 | Spring Cloud GateWay CVE-2022-22947 SPEL RCE 原创 Whippet SecIN技术平台 2023-03-29 18:00 点击蓝字 关注我们 漏洞简介 Spring Cloud Gateway是Spring Cloud官方推出的第二代网关框架,取代Zuul网关。网关作为流量的,在微服务系统中有着非常作用,网关常见的功能有路由转发、权限校验、限流
继续阅读JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改
JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改 taamr 火线Zone 2023-03-28 18:04 序 最近复现学习Fastjson反序列化漏洞利用的时候,用JNDIExploit注入内存马发现连接不上,得魔改冰蝎,再仔细搜索了几篇文档发现新版的冰蝎已经不用魔改也可以连接了,但是目前开源的JNDIExploit的内存马逻辑得改一改。 后面一想,魔改冰蝎还不如改一改
继续阅读上周关注度较高的产品安全漏洞(20230320-20230326)
上周关注度较高的产品安全漏洞(20230320-20230326) 国家互联网应急中心CNCERT 2023-03-28 16:52 一、境外厂商产品漏洞 1、Fortinet FortiWeb操作系统命令注入漏洞(CNVD-2023-18291)**** Fortinet FortiWeb是美国飞塔(Fortinet)公司的一款Web应用层防火墙,它能够阻断如跨站点脚本、SQL注入、Cookie
继续阅读Redis客户端开源库漏洞导致ChatGPT泄漏支付卡信息等
Redis客户端开源库漏洞导致ChatGPT泄漏支付卡信息等 Lawrence Abrams 代码卫士 2023-03-27 17:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OpenAI 公司指出,Redis 客户端开源库漏洞是上周一ChatGPT服务中断以及数据泄露的元凶。该攻击使用户能够看到其他人的个人信息和聊天查询。 ChatGPT 在侧边栏展示用户所提的历史查询,可使用户
继续阅读雷神众测漏洞周报2023.03.20-2023.03.26
雷神众测漏洞周报2023.03.20-2023.03.26 原创 雷神众测 雷神众测 2023-03-27 15:21 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读ChatGPT 写 PoC,拿下漏洞!
ChatGPT 写 PoC,拿下漏洞! 渊龙Sec安全团队 2023-03-24 19:51 Goby社区第 23 篇技术分享文章 全文共: 3901 字 预计阅读时间: 10 分钟 01 前言**** ChatGPT(Chat Generative Pre-trained Transformer)是当今备受瞩目的智能AI聊天机器人之一。它不仅能够实现基本的语言交流,还具备许多强大的功能,例
继续阅读Spring Framework 身份认证绕过漏洞安全风险通告
Spring Framework 身份认证绕过漏洞安全风险通告 代码卫士 2023-03-24 17:06 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Spring Framework 是一个开源应用框架,旨在降低应用程序开发的复杂度。 它是轻量级、松散耦合的,具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个有凝聚
继续阅读速修复这些Netgear Orbi路由器漏洞
速修复这些Netgear Orbi路由器漏洞 Bill Toulas 代码卫士 2023-03-23 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科Talos团队发布了Netgear Orbi 740系列路由器和扩展卫星中多个漏洞的PoC exploit,其中一个漏洞是严重的远程命令执行漏洞。 Netgear Orbi 是适用于家庭用户的流行网络无线网格系统,可同时最多为5
继续阅读【技术干货】CVE-2023-21839 WebLogic Server RCE分析
【技术干货】CVE-2023-21839 WebLogic Server RCE分析 星阑科技 2023-03-23 10:39 xxhzz @PortalLab实验室 项目介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的J
继续阅读上周关注度较高的产品安全漏洞(20230313-20230319)
上周关注度较高的产品安全漏洞(20230313-20230319) 国家互联网应急中心CNCERT 2023-03-21 17:05 一、境外厂商产品漏洞 1、Siretta QUARTZ-GOLD缓冲区溢出漏洞(CNVD-2023-17042)**** Siretta QUARTZ-GOLD是Siretta公司的一款高速工业路由器。Siretta QUARTZ-GOLD G5.0.1.5-210
继续阅读Fastjson漏洞和JNDI注入的前世今生
Fastjson漏洞和JNDI注入的前世今生 Betta 火线Zone 2023-03-17 16:48 简介 Fastjson是一个Java库,它可以解析 JSON 格式的字符串,支持将 JavaBean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。复现的环境使用的是vulhub的环境,在1.2.24fastjson的反序列化利用中有两条链 –
继续阅读.NET PC客户端安全评估-SQLite注入漏洞
.NET PC客户端安全评估-SQLite注入漏洞 专攻.NET安全的 dotNet安全矩阵 2023-03-17 09:25 星球优惠活动 为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直 聚焦于.NET领域的安全攻防技术,定位于 高质量安全攻防星球社区,也 得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发
继续阅读腾讯安全威胁情报中心推出2023年2月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年2月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-03-16 11:34 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年2月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读思科企业路由器受高危DoS漏洞影响
思科企业路由器受高危DoS漏洞影响 Ionut Arghire 代码卫士 2023-03-10 17:40 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,思科发布补丁,修复了位于ASR 9000、ASR 9902和ASR 9903系列企业路由器的 IOS XR软件中的高危DoS漏洞 (CVE-2023-20049)。 该漏洞的CVSS评分为8.6,影响该平台的双向转发检测 (BFD)
继续阅读浅析IPv6下的安全漏洞与应对措施
浅析IPv6下的安全漏洞与应对措施 原创 starkxun 渊龙Sec安全团队 2023-03-09 19:12 微信公众号:渊龙Sec安全团队为国之安全而奋斗,为信息安全而发声!如有问题或建议,请在公众号后台留言如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 概述 经过多年的研究和发展,互联网已经逐渐从IPv4迈向IPv6,让我们从团队成员starkxun写的相关论文中,认识并学习IPv6下的
继续阅读CISA新增3个影响IT管理系统的漏洞
CISA新增3个影响IT管理系统的漏洞 Ravie Lakshmanan 代码卫士 2023-03-09 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 在“已知遭利用漏洞”列表中新增三个漏洞。 这三个漏洞是: CVE-2022-35914(CVSS评分9.8):Teclib GLPI 远程代码执行漏洞。 CVE-2022-33891(
继续阅读Fortinet:注意这个严重的未认证RCE漏洞!
Fortinet:注意这个严重的未认证RCE漏洞! Bill Toulas 代码卫士 2023-03-09 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet 披露了影响FortiOS和FortiProxy的一个严重漏洞 (CVE-2023-25610),它可导致未认证攻击者通过特殊构造的请求,在易受攻击设备的GUI上执行拒绝服务。 该缓冲区溢出漏洞的CVSS评分为
继续阅读Jenkins 出现严重漏洞,可导致代码执行攻击
Jenkins 出现严重漏洞,可导致代码执行攻击 Ravie Lakshmanan 代码卫士 2023-03-09 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 开源自动化服务器 Jenkins 中存在两个严重漏洞(CVE-2023-27898和CVE-2023-27905),可导致攻击者在目标系统上执行代码。 这两个漏洞影响 Jenkins 服务器和Update Center
继续阅读美国网件Netgear RAX30路由器RCE漏洞分析
美国网件Netgear RAX30路由器RCE漏洞分析 原创 B2eFly 山石网科安全技术研究院 2023-03-09 10:28 Netgear RAX30 漏洞分析 2022年Pwn2Own比赛前一天,Netgear官方修复了RAX30设备多个高危漏洞。 设备品牌: Netgear 设备型号: RAX30 固件版本: RAX30 1.0.7.70 01 漏洞概述 CVE-2022-
继续阅读【安全圈】研究机构披露某购物平台利用漏洞,非法获取竞对信息,阻止用户卸载 APP
【安全圈】研究机构披露某购物平台利用漏洞,非法获取竞对信息,阻止用户卸载 APP 安全圈 2023-03-07 19:00 关键词 系统漏洞 近日,研究机构 “DarkNavy” 发文披露某国产 APP 恶意利用系统漏洞,非法提权获取用户隐私及争对手商业信息,远程遥控用户设备,并阻止用户卸载自身 APP。 文章中提到,该 APP 利用 Android 系统的 Parcel
继续阅读[译]大疆无人机安全与DroneID漏洞
[译]大疆无人机安全与DroneID漏洞 CDra90n 看雪学苑 2023-03-07 17:59 本文为看雪论坛优秀文章 看雪论坛作者ID:CDra90n 消费级无人机可以用于高级航拍、物流和人道主义救援等等。但是其广泛使用给安全、安保和隐私带来了许多风险。例如,攻击方可能会使用无人机进行监视、运输非法物品,或通过侵入机场上方的封闭空域造成经济损失。为了防止恶意使用,无人机制造商采用多种对策来
继续阅读上周关注度较高的产品安全漏洞(20230227-20230305)
上周关注度较高的产品安全漏洞(20230227-20230305) 原创 CNVD CNVD漏洞平台 2023-03-06 18:04 一、境外厂商产品漏洞 1、Google Chrome V8类型混淆漏洞(CNVD-2023-12021) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 110.0.5481.77之前版本存在类型混淆漏洞,该
继续阅读TPLink 中继器设备命令注入漏洞分析及复现
TPLink 中继器设备命令注入漏洞分析及复现 原创 Sezangel ChaMd5安全团队 2023-03-06 11:15 写在前面: 在分析TPlink中继器设备时(这里以TL-WPA8630为代表),发现了两处可以利用的命令注入和栈溢出漏洞,因此借这个机会,将TPlink此类设备的模拟方法也进行了研究,并在本地对漏洞进行了复现。相关漏洞已经提交至CVE官网。 漏洞介绍:在httpd文件处理
继续阅读1&2月份重点关注的API安全漏洞一览
1&2月份重点关注的API安全漏洞一览 星阑科技 2023-03-02 16:12 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 1&2月份的一些API安全漏洞报告 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 一个允许远程控制现代和创世纪车辆的API关键漏洞 漏洞详情:近期,研究人员披露了现
继续阅读谷歌2022年发放了8200万元漏洞赏金,平均每个漏洞近3万元
谷歌2022年发放了8200万元漏洞赏金,平均每个漏洞近3万元 安全内参编译 安全内参 2023-03-02 11:19 关注我们 带你读懂网络安全 703名白帽子,2022年共提交2900个有效漏洞报告,斩获超8000万元奖金,平均每人可领取约18万元。 前情回顾·漏洞奖励计划动态 – 微软近一年发放了1亿元漏洞赏金:平均每个漏洞8.5万元 新加坡政府漏洞奖励计划年度总结:半数上报漏
继续阅读