AirPlay 曝“AirBorne”蠕虫级 0-Click RCE 漏洞!无需交互即可入侵 iPhone/Mac 原创 Hankzheng 技术修道场 2025-05-07 00:53 紧急安全警报!如果您是苹果用户或使用任何支持苹果 AirPlay 无线投屏/音频流技术的设备,请务必关注:以色列网络安全公司 Oligo 近日披露了 AirPlay 协议中存在的一组被命名为 “AirBorne”
继续阅读每周网安资讯 (4.28-5.6)|DragonForce勒索团伙近期针对英国零售业发动大规模攻击 交大捷普 2025-05-06 10:14 2025[ 每周网安资讯 ]4.28-5.6 网安资讯 1、国家数据局发布《数字中国发展报告(2024年)》 为贯彻落实党中央、国务院关于数字中国建设的重要部署,国家数据局会同有关单位系统总结2024年数字中国建设重要进展和工作成效,编制形成《数字中国发展
继续阅读25年夏季班招生啦 | 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-05-06 09:59 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【Secu
继续阅读【论文速读】| 通过整体神经符号方法实现自动静态漏洞检测 原创 知识分享者 安全极客 2025-05-06 08:34 基本信息 原文标题:Automated Static Vulnerability Detection via a Holistic Neuro-symbolic Approach 原文作者:Penghui Li, Songchen Yao, Josef Sarfati Koric
继续阅读【代码审计】某JAVA酒店管理系统多个漏洞(附源码) 原创 WL Rot5pider安全团队 2025-05-06 07:31 点击上方蓝字 关注安全知识 欢迎加 技术交流群 ,随意聊,禁 发广告、政治 赌毒 等,嘿嘿 群已满200,请添加: The_movement 备注: 进群 酒店管理系统代码安全审计 一、项目概况 1.1 技术栈 开发语言:Java 框架:Spring Boot 数据
继续阅读漏洞预警|畅捷CRM存在SQL注入漏洞 SecHub网络安全社区 2025-05-06 06:57 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。 文中所涉及的
继续阅读关于对网络安全等级保护有关工作事项进一步说明的函原文 | 2024年至少75个零日漏洞遭滥用,网络与安全产品占比近三成 e安在线 e安在线 2025-05-06 06:33 关于对网络安全等级保护有关工作事项进一步说明的函原文 2024年至少75个零日漏洞遭滥用,网络与安全产品占比近三成 4月30日消息,谷歌公司披露,2024年共发现75个被实际利用的零日漏洞,较2023年的98个有所减少。 在这
继续阅读万户 ezOFFICE selectAmountField.jsp SQL 注入漏洞 Superhero Nday Poc 2025-05-06 06:26 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 万
继续阅读AOSP OTA签名验证漏洞——如何绕过Android系统更新包的安全检查? 原创 Tianu Laqian 山石网科安全技术研究院 2025-05-06 03:32 一个隐藏在Android系统更新包签名验证中的小漏洞,竟然可以让恶意软件包通过安全检查! 在当今数字化时代,Android设备的安全性一直是用户和开发者关注的焦点。系统更新作为保障设备安全的重要手段,其完整性验证机制更是至关重要。然
继续阅读多个高危漏洞挖掘实战 锐鉴安全 2025-05-06 03:32 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标, 不定期有宠粉福利 0x01 暴力破解 朴实无华的弱口令,我都怀疑是不是交互式蜜罐。 0x02 文件上传 该系统所有文件上传功 能均通过同 一方式进行上
继续阅读域渗透入门-令牌窃取(含复现步骤) Syst1m Zer0 sec 2025-05-06 03:06 宇宙免责声明!!! 本推文提供的信息、技术和方法仅用于教育目的。文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题,并采取适当的防护措施来保护自身系统免受攻击。 严禁将本文中的任何信息用于非法目的或对任何未经许可的系统进行测试。未经授权尝试访问计算机系统或数据是违法行为,可能会导致法律后
继续阅读自动化漏洞检测方案-使用AI调用BurpSuite 原创 lemonlove7 鹏组安全 2025-05-06 02:18 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 一、前言 在网络安全领域,漏洞检测是一项至关重要且复杂的工作。随着Web应用规模的扩大和攻击手段的多样化,传统的人工检测方式已难以应对日益增长的安全需求。近年来,人工智能(AI)技术的快速发展为自动化漏洞检测提供了新
继续阅读CraftCMS 前台命令执行漏洞 (CVE-2025-32432) Superhero Nday Poc 2025-05-06 01:00 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 攻击者可构造恶意请
继续阅读FastJSON 安全审计简洁实用指南:黑盒免测也能揪出漏洞 原创 火力猫 季升安全 2025-05-06 00:15 FastJSON 漏洞源码审计简易版 📌 本文讲解如何在源码层面快速识别 FastJSON 的危险用法,即使不跑 POC、不用 Burp,也能定位风险点。 📦 什么是 FastJSON ? FastJSON 是阿里巴巴开源的 Java JSON 解析库,以高性能著称,广泛用于企业
继续阅读JAVA代审之XSS漏洞 T3Ysec T3Ysec 2025-05-05 15:06 一般来说, XSS 的危害性没有 SQL 注入的大, 但是一次有效的 XSS 攻击可以做很多 事情, 比如获取 Cookie、 获取用户的联系人列表、 截屏、 劫持等。 根据服务器后端代码 的不同, XSS 的种类也不相同, 一般可以分为反射型、 存储型以及和反射型相近的 DOM 型。 漏洞危害有: 窃取 Co
继续阅读Ingram【网络摄像头漏洞扫描工具】 原创 白帽学子 白帽学子 2025-05-05 00:11 网络摄像头的安全检查可是个重要活儿。很多时候,我们得对大量的网络摄像头设备进行漏洞扫描,看看有没有安全隐患,不然一旦被黑客利用,那可就麻烦大了。 之前我在一次hvv行动中,就遇到要对一批网络摄像头进行漏洞排查的任务。要扫描的设备数量不少,涵盖了海康、大华、宇视、dlink 这些常见品牌。我就想着得找
继续阅读漏洞复现篇 | CraftCMS 任意命令执行漏洞,CVE-2025-32432 原创 零日安全实验室 零日安全实验室 2025-05-04 22:00 免责声明! 本 公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。 大 纲 0x01 漏洞概述 0x02 影响范围 0x03 资产测绘 0x04 漏洞利用及复现过程 0
继续阅读zyxel路由器CVE-2024-9200漏洞调用链分析 CLan_nad 看雪学苑 2025-05-04 10:02 本文主要是针对于zyxel厂商的路由器的zhttpd程序进行漏洞分析,作者在挖掘zyxel设备漏洞时,翻到一篇较新的漏洞公告: Zyxel security advisory for buffer overflow and post-authentication command
继续阅读数字青春,榜样力量!360漏洞云五四特别直播回顾! 360漏洞云 2025-05-04 02:50 五四青年节 在五四青年节到来之际,360漏洞云携手共青团中央直属中国光华科技基金会发起了数字青春榜样力量特别直播活动。三位青年代表分享了自己的背景和经历,展示了他们在网络安全领域的贡献与热情。此次活动聚焦数字化浪潮中新时代青年在捍卫国家网络空间主权与安全方面的崇高使命,旨在汇聚新时代网络安全青年,共
继续阅读漏洞挖掘—隐藏资产挖掘SQL注入 原创 haosha 网安日记本 2025-05-03 11:00 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 前言 最近看各位大佬都在冲EDU SRC看的我是热血沸腾,搞得我也想试一试,于是便趁着工作之余
继续阅读ECU自适应模糊测试:用于增强漏洞检测的模块化测试平台方法 谈思实验室 2025-05-03 10:28 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 01 引言 现代车辆是复杂的数字生态系统,其运行和安全依赖于复杂的网络。然而,这些网络中的网络安全漏洞可能会危及道路安全。本文探讨了由 CAN 总线促成的电子控制单元(ECU)之间的关键交互。CAN 总线最初设计用于确保可靠通信,但并未将安全
继续阅读『Java代码审计零基础到高阶实战班』正式开班啦!手把手带你从零基础学习到反序列化,内存马以及框架漏洞等实战知识!!! 润霖@闪石星曜 闪石星曜CyberSecurity 2025-05-03 06:48 闪石星曜 CyberSecurity 专注代码审计、渗透测试干货分享与培训 第一期还剩四个发车名额, 赶紧来一起抱团学习! 05月07日开课! 01 课程简介 1、你是否渴望从零基础起步,真正掌
继续阅读入侵苹果——SQL注入远程代码执行 Ots安全 2025-05-03 05:48 介绍 在上一篇博文中,我们深入研究了 Lucee 的内部工作原理,并查看了 Masa/Mura CMS 的源代码,并意识到其潜在的攻击面之广。显然,花时间理解代码是值得的。经过一周的探索,我们偶然发现了几个可以利用的切入点,包括一个关键的 SQL 注入漏洞,我们可以利用该漏洞在 Apple 的 Book Travel
继续阅读用友U8Cloud getReportIdsByTaskId方法-多处SQL注入漏洞分析 蓝云Sec 2025-05-02 16:01 一、漏洞简介 U8cloud系统getReportIdsByTaskId 方法存在SQL注入漏洞,未经权限校验调用该方法的服务就会存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。 二、影响版本 1.0,2.0,2.1,
继续阅读网络入侵新态势:凭证窃取与边界漏洞利用激增,钓鱼攻击持续衰退 黑白之道 2025-05-02 14:26 根据 Verizon 和谷歌旗下 Mandiant 的独立报告数据,网络犯罪分子的初始入侵手段正在发生显著转变。Mandiant 事件响应团队指出,攻击者更倾向于利用目标环境中现有工具,而非构建新恶意软件或配置漏洞利用后工具。 01 入侵手段演变趋势 Mandiant 调查显示,2024年漏洞
继续阅读从代理到后门:Mihomo Party漏洞直通SYSTEM权限,你的设备已经在裸奔。 原创 RCS-TEAM安全团队 小白嘿课 2025-05-02 14:17 PART.01 免责声明 RCS-TEAM作为独立安全实验室,于2025年4月发现Mihomo Party存在未公开本地提权0day漏洞。根据《漏洞披露国际准则》,我方已提前通过多途径联系开发团队,但未获有效回应。基于漏洞已遭野外利用且百
继续阅读信息安全漏洞周报【第020期】 零零捌信安观察 银天信息 2025-05-02 11:13 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读【情报】CVE出现罕见的10.0评分漏洞,SAP NetWeaver存在RCE漏洞 原创 visionsec 安全视安 2025-05-01 05:21 漏洞概述 SAP NetWeaver Visual Composer的Metadata Uploader模块缺失必要的授权校验,攻击者可通过未经身份验证的POST请求向/developmentserver/metadatauploader 端点上
继续阅读一次从注册功能隐藏到发现的sql注入漏洞 lo2us 实战安全研究 2025-05-01 02:02 1.访问站点 打开burpsuite,配置代理等完成一系列抓取流量的配置操作后,开始访问目标系统 发现只有一个登录框。 我们随便输入账号密码,点击登录,观察请求包和响应包 发现提示账号不存在(其实一个小漏洞,用户名遍历已到手)。 注意此时我们的路径是/dev-api/auth/login。 2.注
继续阅读