DataCon24漏洞赛道冠军分享:vuln_wp——大模型赋能的漏洞自动化分析全解析
DataCon24漏洞赛道冠军分享:vuln_wp——大模型赋能的漏洞自动化分析全解析 0817IOTG团队 DataCon大数据安全分析竞赛 2025-03-26 18:00 该资源是来自武汉大学0817IOTG团队,DataCon2024漏洞分析赛道冠军的开源和解题分享,其开源提供了漏洞情报提取与漏洞挖掘两大核心模块的解决框架,并打包成一个可执行 Docker 镜像压缩包,方便安全研究者和开发
继续阅读标签: SQL注入
百易云资产管理运营系统 admin.ticket.close.php SQL注入漏洞(CVE-2025-1535)
百易云资产管理运营系统 admin.ticket.close.php SQL注入漏洞(CVE-2025-1535) Superhero Nday Poc 2025-03-25 20:23 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请
继续阅读管好IT资产,高效防治漏洞(1)
管好IT资产,高效防治漏洞(1) 原创 Richard 方桥安全漏洞防治中心 2025-03-25 19:19 很难想象IT资产管理做得不好,而安全漏洞防治工作做得很好。 那么,安全漏洞防治需要什么样的IT资产管理? 我们先看看 NIST SPECIAL PUBLICATION 1800-5 IT Asset Management(IT资产管理)里面的这张图。 图1. Asset Lifecycl
继续阅读Ingress NGINX 控制器中存在严重漏洞可导致RCE
Ingress NGINX 控制器中存在严重漏洞可导致RCE Ravie Lakshmanan 代码卫士 2025-03-25 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ingress NGINX Controller (Kubernetes) 中存在五个严重漏洞,无需认证即可导致远程代码执行,可将超过6500个集群暴露在公开互联网中。 这些漏洞(CVE-2025-2451
继续阅读HackerOne审核漏洞的隐藏规则:为什么你的报告总被拒?
HackerOne审核漏洞的隐藏规则:为什么你的报告总被拒? 原创 道玄安全 道玄网安驿站 2025-03-25 17:55 “ 和审核斗智斗勇。” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以
继续阅读Kubernetes惊现“入口噩梦”:Ingress NGINX高危漏洞可致集群全面沦陷
Kubernetes惊现“入口噩梦”:Ingress NGINX高危漏洞可致集群全面沦陷 原创 网空闲话 网空闲话plus 2025-03-25 17:23 2025年3月24日Wiz博客披露,Kubernetes的Ingress NGINX Controller被发现存在一系列名为“IngressNightmare”的远程代码执行(RCE)漏洞,具体包括 CVE-2025-1097、CVE-20
继续阅读【高危漏洞】Tenda AC15命令注入漏洞
【高危漏洞】Tenda AC15命令注入漏洞 原创 moon 皓月当空w 2025-03-24 21:27 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称 : Tenda AC15命令注入漏洞 漏洞出现时间 :2025年3月14日 影响等级 :高危 漏洞说明: Tenda AC15 15.03.05.19版本存在命令注入漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。
继续阅读速修复Next.js中严重的授权绕过漏洞
速修复Next.js中严重的授权绕过漏洞 do son 代码卫士 2025-03-24 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门的 React 框架 Next.js 能帮助开发人员更快更有效地构建全栈 web 应用,广泛用于大量企业,其中不乏一些全球最大的企业,因其“可通过扩展 React 的最新特性并集成强大的基于 Rust 的 JavaScript 工具以最快进行
继续阅读上周关注度较高的产品安全漏洞(20250317-20250323)
上周关注度较高的产品安全漏洞(20250317-20250323) 原创 CNVD CNVD漏洞平台 2025-03-24 18:31 一、境外厂商产品漏洞 1、Adobe InDesign堆缓冲区溢出漏洞(CNVD-2025-05246) Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe InDesign存在堆缓冲区溢出漏洞,攻击者可利用该漏洞在当前用
继续阅读CAPEC 漏洞管理的“真”攻击者视角
CAPEC 漏洞管理的“真”攻击者视角 摄星 数世咨询 2025-03-24 16:00 PART01 引言 在攻防对抗的网络安全战场中,攻击者的手段日新月异,而防御者亟需一套”攻击者思维”的语言体系。CAPEC(通用攻击模式枚举与分类)正是这样一把钥匙,它从攻击者视角系统化梳理逾500种攻击模式,帮助防御者预判威胁路径、构建防御策略。 CAPEC并非孤立存在。它与ATT&
继续阅读【已复现】影响部分热门 AI 应用,Next.js 中间件绕过漏洞(CVE-2025-29927)
【已复现】影响部分热门 AI 应用,Next.js 中间件绕过漏洞(CVE-2025-29927) 长亭安全应急响应中心 2025-03-24 11:49 Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server-side Rendering (SSR) 和静态站点生成(SSG)项目。Next.js 支持传统的 No
继续阅读工控漏洞 | mySCADA myPRO或被攻击者掌控工业控制系统
工控漏洞 | mySCADA myPRO或被攻击者掌控工业控制系统 FreeBuf 商密君 2025-03-23 21:25 网络安全研究人员披露了影响mySCADA myPRO系统的两个重大漏洞的细节。myPRO是一种广泛应用于工业技术(OT)环境中的监控与数据采集(SCADA)系统,这些漏洞可能使恶意攻击者控制易受攻击的设施。 瑞士安全公司PRODAFT表示:“如果这些漏洞被利用,可能导致未授
继续阅读[安全开源分享] Datacon24漏洞赛道冠军分享:vuln_wp——大模型赋能的漏洞自动化分析全解析(武大)
[安全开源分享] Datacon24漏洞赛道冠军分享:vuln_wp——大模型赋能的漏洞自动化分析全解析(武大) 原创 0817 IOTG团队 娜璋AI安全之家 2025-03-22 19:07 该资源是来自武汉大学0817 IOTG团队,DataCon 2024漏洞分析赛道冠军的开源和解题分享,其开源提供了漏洞情报提取与漏洞挖掘两大核心模块的解决框架,并打包成一个可执行 Docker 镜像压缩包
继续阅读FreeBuf周报 | “人肉开盒”再调查;ChatGPT SSRF漏洞迅速成为热门攻击向量
FreeBuf周报 | “人肉开盒”再调查;ChatGPT SSRF漏洞迅速成为热门攻击向量 FreeBuf 2025-03-22 18:01 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 热点资讯 1. “人肉开盒”再调查:网络灰产隐秘升级,记者买到自己的秘密 “开盒”,即利用非法手段获得并公开曝光他人隐私
继续阅读WordPress安全插件WP Ghost有远程代码执行漏洞
WordPress安全插件WP Ghost有远程代码执行漏洞 HackSee安全团队 HackSee 2025-03-22 17:28 流行的WordPress安全插件WP Ghost容易受到一个严重漏洞的攻击,该漏洞可能允许未经身份验证的攻击者远程执行代码并劫持服务器。 WP Ghost是一个流行的安全插件,在超过20万个WordPress网站中使用,声称每月阻止14万次黑客攻击和超过900万次
继续阅读速达软件 doSavePrintTpl sql注入漏洞
速达软件 doSavePrintTpl sql注入漏洞 Superhero Nday Poc 2025-03-22 15:59 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 速达软件是中国知名的中小
继续阅读Web篇 |【全网最详细】Apache CC反序列化漏洞:CC1调用链POC构造过程,干货!!!(上)
Web篇 |【全网最详细】Apache CC反序列化漏洞:CC1调用链POC构造过程,干货!!!(上) 原创 零日安全实验室 零日安全实验室 2025-03-22 13:48 免责声明! 本 公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。 上一文章讲解了Apache CC漏洞的原理以及CC1调用链,这一文章我们继续接
继续阅读信息安全漏洞周报【第014期】
信息安全漏洞周报【第014期】 零零捌信安观察 银天信息 2025-03-21 20:58 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读万能门店小程序管理系统 dopagefxcount SQL注入漏洞
万能门店小程序管理系统 dopagefxcount SQL注入漏洞 Superhero Nday Poc 2025-03-21 20:24 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 万能门店小程
继续阅读GLPI 中的预认证 SQL 注入到 RCE(CVE-2025-24799/CVE-2025-24801)
GLPI 中的预认证 SQL 注入到 RCE(CVE-2025-24799/CVE-2025-24801) Ots安全 2025-03-21 20:01 在红队交战期间,已经发现了几个GLPI实例。该软件在法语公司中很受欢迎,其中一些公司甚至直接在互联网上公开其实例。众所周知,GLPI 历史上隐藏着多个易于发现的漏洞,而且由于它通常与 Active Directory 相连,因此在红队交战或内部基
继续阅读360入选2024年度移动互联网APP产品安全漏洞治理优秀案例
360入选2024年度移动互联网APP产品安全漏洞治理优秀案例 360数字安全 2025-03-21 18:56 近日,在上级主管部门的指导下,由中国软件评测中心、CAPPVD漏洞库联合主办的“第六期移动互联网APP产品安全漏洞技术沙龙”在海口成功召开,并于现场公布2024年度优秀案例评选结果。360公司凭借“三六零小程序安全合规检测平台”成功入选移动互联网APP产品安全漏洞治理优秀案例。 202
继续阅读风险研究 | AI 安全警钟响起:Manus AI 漏洞暴露的背后真相
风险研究 | AI 安全警钟响起:Manus AI 漏洞暴露的背后真相 安全极客 2025-03-21 18:47 一场泄露引发的风暴 想象一下,你手中的 AI 智能助手突然暴露了自己的“内心秘密”——核心指令、运行代码,甚至可能泄露你的隐私数据。这不是科幻电影,而是刚刚发生在 Manus AI 身上的真实事件。一名用户通过简单操作,就轻松获取了这款 AI 代理的系统提示词,揭开了 AI 安全隐患
继续阅读Veeam 备份服务器现重大漏洞,速更新补丁!
Veeam 备份服务器现重大漏洞,速更新补丁! 看雪学苑 看雪学苑 2025-03-21 17:59 近期 Veeam Backup & Replication 软件被曝出一项严重的远程代码执行漏洞(CVE-2025-23120),给众多企业和组织的数据安全带来了巨大风险。 据相关报道,该漏洞是由 watchTowr Labs 发现的,主要影响 Veeam Backup & Re
继续阅读国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》;IBM AIX曝满分高危漏洞,可导致系统完全沦陷 |牛览
国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》;IBM AIX曝满分高危漏洞,可导致系统完全沦陷 |牛览 安全牛 2025-03-21 17:36 新闻速览 •国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》 •英国NCSC设定2035年为后量子密码迁移最后期限,提出三阶段迁移计划 •警惕新型隐写术恶意软件,利用JPEG文件分发信息窃取程序 •Cisco
继续阅读PHP XXE 注入漏洞允许攻击者访问配置文件和私钥
PHP XXE 注入漏洞允许攻击者访问配置文件和私钥 嘶吼专业版 2025-03-21 11:07 Web 应用程序安全研究员 Aleksandr Zhurnakov 详细揭示了 PHP 中新发现的 XML 外部实体(XXE)注入漏洞。 该漏洞展示了攻击者如何绕过多种安全机制,进而访问敏感配置文件和私钥,凸显了即便在看似安全的实现中,不当的 XML 解析配置也存在巨大风险。 此漏洞利用了 PHP
继续阅读SRC漏洞挖掘之敏感信息泄露漏洞挖掘实战指南
SRC漏洞挖掘之敏感信息泄露漏洞挖掘实战指南 原创 炽汐安全屋 炽汐安全屋 2025-03-20 22:10 SRC漏洞挖掘之敏感信息泄露漏洞挖掘实战指南在Web应用安全中,敏感信息泄露是最常见且危害性最大的漏洞之一。通过敏感信息泄露,攻击者可以获取用户数据、系统配置、源代码甚至数据库信息,从而进一步发起更深层次的攻击。本文将从实战角度出发,详细介绍如何挖掘和利用敏感信息泄露漏洞,并提供防御建议。
继续阅读万能门店小程序管理系统 doPageGuiz SQL注入漏洞
万能门店小程序管理系统 doPageGuiz SQL注入漏洞 Superhero Nday Poc 2025-03-20 20:37 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 万能门店小程序管理
继续阅读更新2节(附课后作业)| 系统0day安全-IOT设备漏洞挖掘(第6期)
更新2节(附课后作业)| 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-03-20 17:59 更新: 第三章 课时8:自动化仿真工具-FAT的介绍与使用 https://www.kanxue.com/book-7-5300.htm 课时9:自动化仿真工具-FirmAE的介绍与使用 https://www.kanxue.com/book-7-5301.htm 自动化
继续阅读mySCADA myPRO中存在多个严重漏洞,可导致攻击者接管工控系统
mySCADA myPRO中存在多个严重漏洞,可导致攻击者接管工控系统 Ravie Lakshmanan 代码卫士 2025-03-20 17:42 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 瑞士安全公司 PRODAFT的网络安全研究员详述了影响 mySCADA myPRO 的两个严重漏洞,它们可导致恶意人员控制可疑系统。MySCADA myPRO是用于运行技术 (OT) 环境中的数据
继续阅读百度对“开盒”事件发布声明,已报案;美国西部联盟银行遭遇第三方供应商零日漏洞攻击,2.2万客户数据遭泄露 | 牛览
百度对“开盒”事件发布声明,已报案;美国西部联盟银行遭遇第三方供应商零日漏洞攻击,2.2万客户数据遭泄露 | 牛览 安全牛 2025-03-20 16:59 新闻速览 •目录 百度对“开盒”事件发布声明,已报案 •通过电子商务骗局获利1400万美元,Click Profit 被封禁 •WhatsApp修复被Paragon间谍软件攻击利用的零点击零日漏洞 •Infosys因第三方数据泄露事件达成17
继续阅读