XXE漏洞各种骚姿势
XXE漏洞各种骚姿势 迪哥讲事 2025-03-14 17:33 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4086 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 XML 外部实体(XXE)漏洞是现代网
继续阅读标签: SQL注入
Ballista僵尸网络利用TP-Link漏洞,6千台设备被攻击
Ballista僵尸网络利用TP-Link漏洞,6千台设备被攻击 数世咨询 2025-03-14 16:02 未打补丁的 TP-Link Archer 路由器正成为一种名为 Ballista 的新型僵尸网络攻击的目标,这是 Cato CTRL 团队最新发现的。 01 攻击原理与传播方式 安全研究人员 Ofek Vardi 和 Matan Mittelman 在一份技术报告中表示:“该僵尸网络利用
继续阅读腾讯云安全中心推出2025年2月必修安全漏洞清单
腾讯云安全中心推出2025年2月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-03-14 09:45 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读【安全圈】PHP XXE 注入漏洞让攻击者读取配置文件和私钥
【安全圈】PHP XXE 注入漏洞让攻击者读取配置文件和私钥 安全圈 2025-03-13 19:00 关键词 安全漏洞 安全研究人员发现 PHP 应用程序存在一个复杂的 XML 外部实体 (XXE) 注入漏洞,该漏洞可能允许攻击者访问敏感配置文件和私钥。 该漏洞由研究员 Aleksandr Zhurnakov 发现,会影响在 XML 处理期间使用某些 libxml 标志的 PHP 应用程序,即使
继续阅读MFA告急!黑客利用高级技术绕过保护;WebKit零日漏洞被利用开展“极其复杂”定向攻击,苹果紧急修复 | 牛览
MFA告急!黑客利用高级技术绕过保护;WebKit零日漏洞被利用开展“极其复杂”定向攻击,苹果紧急修复 | 牛览 安全牛 2025-03-13 18:36 新闻速览 •英国网络安全行业收入增长12%突破130亿英镑 •机器身份数量超过人类用户4万倍,风险增加7.5倍 •MFA告急!黑客利用高级技术绕过保护 •微软修复6个零日漏洞和10个高风险漏洞 •新型Ebyte勒索软件来袭,采用先进加密策略攻击
继续阅读更新第三章:固件仿真 | 系统0day安全-IOT设备漏洞挖掘(第6期)
更新第三章:固件仿真 | 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-03-13 17:59 本周更新: 课时1:qemu介绍与安装 https://www.kanxue.com/book-7-5271.htm 课时2:用户模式仿真(Qemu-user)-介绍 https://www.kanxue.com/book-7-5273.htm 课时3:用户模式仿真(Qe
继续阅读Zoom客户端惊现高危漏洞,数百万用户数据或泄露!
Zoom客户端惊现高危漏洞,数百万用户数据或泄露! 看雪学苑 看雪学苑 2025-03-13 17:59 近日,Zoom客户端软件被曝出多个高危安全漏洞, 这些漏洞涉及Zoom的桌面端、移动端以及Workplace应用程序,可能使数百万用户面临数据泄露、权限提升和未授权访问的风险。 根据Zoom在2025年3月11日发布的安全公告,此次修复的漏洞包括CVE-2025-27440(堆缓冲区溢出)、C
继续阅读警惕 Apache Camel 漏洞 攻击者借此能注入任意标头
警惕 Apache Camel 漏洞 攻击者借此能注入任意标头 山卡拉 嘶吼专业版 2025-03-12 14:01 Apache Camel 中近期披露的一个安全漏洞(编号为 CVE – 2025 – 27636),已引发整个网络安全社区的高度警惕。该漏洞允许攻击者向 Camel Exec 组件配置注入任意标头,进而有可能实现远程代码执行(RCE)。 受此漏洞影响的版本众
继续阅读360漏洞情报月报2025年02期|全网捕获4000+漏洞,整体威胁水平处于高位
360漏洞情报月报2025年02期|全网捕获4000+漏洞,整体威胁水平处于高位 360漏洞云 2025-03-12 10:39 近日,360漏洞云情报平台发布2025年2月漏洞情报月报,综合分析当月全网漏洞安全态势,人工深度研判分析重点预警漏洞,并披露多起具有战略价值的网络安全事件。本文特摘录核心内容,为政企机构提供防御参考。 月报数据显示,2025年2月全网捕获漏洞4,078例,较2024年同
继续阅读JAVA 代码审计第一课:环境搭建与SQL 注入漏洞
JAVA 代码审计第一课:环境搭建与SQL 注入漏洞 sec0nd安全 2025-03-11 23:07 很久没有审计了,所以想出一期审计内容,整体内容偏简单,我默认你们会基本的 java 语言,所以就不带你们学习相关的语言基础,废话少说,直接开篇 审计环境 jdk 下载 https://www.oracle.com/technetwork/java/javase/downloads/jdk8-d
继续阅读蓝凌EIS智慧协同平台fi_message_receiver.aspx接口存在SQL注入漏洞 漏洞预警
蓝凌EIS智慧协同平台fi_message_receiver.aspx接口存在SQL注入漏洞 漏洞预警 2025-3-11更新 南风漏洞复现文库 2025-03-11 23:05 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 蓝凌EI
继续阅读【漏洞预警】Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)
【漏洞预警】Apache Tomcat 远程代码执行漏洞(CVE-2025-24813) 原创 聚焦网络安全情报 安全聚 2025-03-11 22:12 高 危 公 告 近日,安全聚实验室监测到 Apache Tomcat 存在远程代码执行漏洞 ,编号为:CVE-2025-24813,CVSS:8.7 当应用程序启用Servlet写入功能,并使用Tomcat的默认会话持久化机制和存储位置,同时
继续阅读网康科技 NS-ASG 应用安全网关 add_ikev2.php SQL注入漏洞(CVE-2024-3458)
网康科技 NS-ASG 应用安全网关 add_ikev2.php SQL注入漏洞(CVE-2024-3458) Superhero Nday Poc 2025-03-11 20:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行
继续阅读Microsoft WinDbg RCE 存在允许攻击者远程执行任意代码漏洞
Microsoft WinDbg RCE 存在允许攻击者远程执行任意代码漏洞 网安百色 2025-03-11 19:28 点击上方 蓝字 关注我们吧~ 一个高严重性漏洞 CVE-2025-24043,通过 SOS 调试扩展中不正确的加密签名验证实现远程代码执行 (RCE)。 该漏洞影响关键的 .NET 诊断包,包括 dotnet-sos、dotnet-dump 和 dotnet-debugger-
继续阅读【安全圈】Apache Tomcat 中的 CVE-2025-24813 漏洞导致服务器遭受 RCE 和数据泄露:立即更新
【安全圈】Apache Tomcat 中的 CVE-2025-24813 漏洞导致服务器遭受 RCE 和数据泄露:立即更新 安全圈 2025-03-11 19:00 关键词 安全漏洞 Apache Tomcat 中发现了一个严重漏洞CVE-2025-24813,可能允许攻击者执行远程代码、泄露敏感信息或破坏数据。Apache 软件基金会已发布紧急安全公告,敦促受影响版本的用户立即更新。 Apach
继续阅读这个严重的PHP漏洞正遭大规模利用
这个严重的PHP漏洞正遭大规模利用 Ionut Arghire 代码卫士 2025-03-11 18:25 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁情报公司 GreyNoise 提到,威胁行动者们已开始大规模利用PHP中的一个严重漏洞CVE-2024-4577,它可导致攻击者在易受攻击服务器上实现远程代码执行。 该漏洞的CVSS评分为9.8,可在使用Apache 和 PHP-CG
继续阅读漏洞预警 | Apache OFBiz 服务端模板注入漏洞(CVE-2025-26865)
漏洞预警 | Apache OFBiz 服务端模板注入漏洞(CVE-2025-26865) 原创 烽火台实验室 Beacon Tower Lab 2025-03-11 09:19 1 漏洞概述 漏洞类型 模板注入漏洞 漏洞等级 高危 漏洞编号 CVE-2025-26865 漏洞评分 无 利用复杂度 低 影响版本 18.12.17 < Apache OFBiz < 18.12.18 利用
继续阅读CISA:Edimax 摄像头中的严重0day漏洞已遭利用
CISA:Edimax 摄像头中的严重0day漏洞已遭利用 Eduard Kovacs 代码卫士 2025-03-10 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA上周披露称,多个僵尸网络正在利用 Edimax IP摄像头中的 0day 漏洞。 CISA 发布安全公告提醒 Edimax IC-7100 IP摄像头用户称,该产品受一个严重的命令注入漏洞CVE-2025-
继续阅读上周关注度较高的产品安全漏洞(20250303-20250309)
上周关注度较高的产品安全漏洞(20250303-20250309) 原创 CNVD CNVD漏洞平台 2025-03-10 17:32 一、境外厂商产品漏洞 1、Microsoft Excel代码执行漏洞(CNVD-2025-04194) Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞,攻
继续阅读Apache OFBiz 服务端模板注入漏洞(CVE-2025-26865)安全风险通告
Apache OFBiz 服务端模板注入漏洞(CVE-2025-26865)安全风险通告 奇安信 CERT 2025-03-10 14:52 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache OFBiz 服务端模板注入漏洞 漏洞编号 QVD-2025-10061,CVE-2025-26865 公开时间 2025-03-07 影响量级 万级 奇安信评级 高危 CVSS
继续阅读Sitecore 曝零日漏洞,可执行任意代码攻击
Sitecore 曝零日漏洞,可执行任意代码攻击 FreeBuf 商密君 2025-03-09 23:55 近日披露的 Sitecore 体验平台关键漏洞(CVE-2025-27218)允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。 该漏洞源于不安全的数据反序列化操作,影响Sitecore 体验管理器(XM)和体验平台(XP)8.2至10.4版本,这些版本在安装补丁KB1002844之前
继续阅读【安全圈】紧急预警|Elastic Kibana 高危漏洞,可远程执行代码,速修复
【安全圈】紧急预警|Elastic Kibana 高危漏洞,可远程执行代码,速修复 安全圈 2025-03-08 19:00 关键词 漏洞 漏洞背景 近日,Elastic 官方紧急发布安全更新,修复了 Kibana(Elasticsearch 数据可视化平台) 中一个 CVSS 评分9.9 的严重漏洞(CVE-2025-25012)。该漏洞源于 原型污染缺陷,攻击者可通过构造恶意文件上传和特制 H
继续阅读记录一次JAVA前台漏洞审计
记录一次JAVA前台漏洞审计 知名小朋友 进击安全 2025-03-08 16:37 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 好久没有进行自己更新相关的文章了,今天来更新一篇对学员的一个JAVA源码的审计过程,并且成功审计出来漏洞的一个案例。 二、事情过程 某天晚上,
继续阅读【2025最新】6款漏洞扫描工具!收藏这一篇就够了(附下载链接)
【2025最新】6款漏洞扫描工具!收藏这一篇就够了(附下载链接) 编程技术栈 2025-03-08 15:55 前言 渗透测试收集信息完成后,就要根据所收集的信息,扫描目标站点可能存在的漏洞了,包括我们之前提到过的如: SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,通过这些已知的漏洞,来寻找目标站点的突破口,在这之前我们可能就已经接触过许多漏洞靶场,练习过各种漏洞的攻击
继续阅读JavaSecLab 综合Java漏洞平台搭建
JavaSecLab 综合Java漏洞平台搭建 原创 moonsec moonsec 2025-03-08 12:32 一、介绍 JavaSecLab是一款综合型Java漏洞平台,提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范,覆盖多种漏洞场景,友好用户交互UI…… 支持漏洞模块 跨站脚本攻击、跨站请求伪造、CORS、JSONP、URL重定向、XFF伪造、拒绝服务、XPAT
继续阅读Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload
Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload T3nk0 无影安全实验室 2025-03-07 20:56 免责声明: 本篇文章仅用于技术交流, 请勿利用文章内的相关技术从事非法测试 , 由于传播、利用本公众号无影安全 实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责任,一
继续阅读当风云卫拥抱DeepSeek发生了哪些? –从漏洞验证到自动修复的优化之路
当风云卫拥抱DeepSeek发生了哪些? –从漏洞验证到自动修复的优化之路 原创 创新研究院 绿盟科技研究通讯 2025-03-07 19:28 一. 前言 近期,Deepseek-R1[1]凭借在多项核心评测基准中的优异表现,尤其是在代码层面,展现出了强大的推理能力和高效的性能,能够有效支持开发者完成复杂的编程任务。那么,Deepseek-R1是否会给代码审计带来智能化变革呢? 本
继续阅读vulnhub靶场渗透之Stapler 8000字详解,多种方式任你挑选,sql注入、隧道建立、hadry爆破、内核漏洞利用。
vulnhub靶场渗透之Stapler 8000字详解,多种方式任你挑选,sql注入、隧道建立、hadry爆破、内核漏洞利用。 原创 泷羽Sec-zhao’y 泷羽Sec-朝阳 2025-03-07 19:10 vulnhub靶场渗透之Stapler 8000字详解,多种方式任你挑选,sql注入、隧道建立、hadry爆破、内核漏洞利用。 一、信息收集 1、首先拿到靶场先扫一下ip ar
继续阅读公安部网安局提醒:警惕5种个税汇算骗局;新型勒索团伙SecP0出新招:威胁公开未披露软件漏洞 | 牛览
公安部网安局提醒:警惕5种个税汇算骗局;新型勒索团伙SecP0出新招:威胁公开未披露软件漏洞 | 牛览 安全牛 2025-03-07 15:48 点击蓝字·关注我们 / aqniu 新闻速览 •公安部网安局提醒:警惕5种个税汇算骗局 •工信部CSTIS提醒:防范针对DeepSeek本地化部署实施网络攻击的风险 •NIST发布《评估差分隐私保证指南》 •5欧元二手硬盘藏15GB敏感医疗记录,数据
继续阅读