方正畅享全媒体新闻采编系统reportCenter.do/screen.do接口存在SQL注入 漏洞预警 2025-2-28更新 南风漏洞复现文库 2025-02-28 22:22 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 方正畅
继续阅读如何修复常见的WEB漏洞 xsser xsser的博客 2025-02-28 15:24 常见Web漏洞修复解决方案 一、SQL注入漏洞 漏洞原理 攻击者通过构造恶意输入篡改SQL语句逻辑,绕过身份验证或直接操纵数据库。例如,输入 ‘ OR 1=1– 使查询条件恒为真,泄露全表数据。 虚构修复方案 动态语法树重组(Dynamic Syntax Tree Reshaping, DSTR
继续阅读渗透测试新利器!EZ漏洞扫描器全面解析 原创 SecCeo 泷羽Sec-Ceo 2025-02-28 11:06 EZ 工具介绍 EZ是一款集信息收集、端口扫描、服务暴破、URL爬虫、指纹识别、被动扫描为一体的跨平台漏洞扫描器,渗透测试中,可辅助发现常见的SQL注入、XSS、XXE、SSRF之类的漏洞,通过内置的POC辅助发现Apache Shiro、RabbitMQ、Struts2之类的通用组件
继续阅读【风险提示】 DeepSeek等大模型私有化服务器部署近九成在“裸奔”,已知漏洞赶紧处理! 奇安信 CERT 2025-02-28 08:33 问题概述 近期,随着国产大模型 DeepSeek 的迅速流行,越来越多的企业和个人选择将其进行私有化部署。然而,根据奇安信资产测绘鹰图平台的监测数据,在 8971 个运行 Ollama 大模型框架的服务器中,有 6449 个活跃服务器,其中 88.9% 的
继续阅读PbootCMS最新代码注入漏洞(CNVD-2025-01710、CVE-2024-12789) 原创 护卫神 护卫神说安全 2025-02-28 03:39 PbootCMS是一套高效、简洁、 强悍的可免费商用的CMS源码,使用PHP+MySQL开发,能够满足各类企业网站开发建设的需要。 国家信息安全漏洞共享平台于2025-01-14公布该程序存在代码注入漏洞。 漏洞编号:CNVD-2025-0
继续阅读分享一次组合漏洞挖掘拿下目标 原创 flowerwind 长个新的脑袋 2025-02-28 02:46 前言 背景为多年前的某次红队在钓鱼、常规打点无果的情况下获取到了一份和目标单位某站点相匹配的代码,自此开始对这套代码进行审计。最终挖掘了众多小漏洞,在目标为springboot的情况下,利用jdk的懒加载特性巧妙串联诸多漏洞后拿下了该站点的shell。 漏洞挖掘和利用 JWT Token伪造漏
继续阅读紧急预警!Windows磁盘清理工具惊现高危漏洞,你的电脑可能面临被控制风险! 云梦DC 云梦安全 2025-02-28 00:48 漏洞概述 CVE ID:CVE-2025-21420 漏洞类型:DLL劫持(DLL Sideloading)引发的权限提升(EoP) 影响组件:Windows磁盘清理工具(cleanmgr.exe) 攻击复杂度:低(需用户交互或自动化触发) 权限需求:需具备用户级文
继续阅读.NET 逻辑绕过漏洞审计思路和挖掘 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-28 00:34 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项逻辑绕过漏洞的发现引起了广泛关注。攻击者只需构造一个特定的URL请求,便能实现让接口泄露管理员敏感信息,包括用户名和密码, 因此,在日常的代码审计和评估的环节需要格外留意该漏洞类型引发的安全漏洞。 01
继续阅读警惕!全景框架Krpano漏洞遭大规模利用,350+网站被植入垃圾广告 原创 Hankzheng 技术修道场 2025-02-28 00:18 近日,知名虚拟导览框架Krpano的一个跨站脚本(XSS)漏洞被黑客大规模利用,超过350个网站被注入恶意脚本,用于操纵搜索结果并推广垃圾广告。 安全研究员Oleg Zaytsev发现了一场名为“360XSS”的网络攻击活动,该活动利用了虚拟导览框架Krp
继续阅读SRC挖掘 | 文件下载漏洞getshell 不秃头的安全 2025-02-27 23:33 SRC挖掘 | 文件下载漏洞getshell 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。需要加交流群在最下方。还在学怎么挖通用漏洞和src吗? 知识星球在最下方,续费也有优惠私聊~~考证请加联系vx咨询 之前挖到的文件下载漏洞,
继续阅读RuoYi若依 Vue综合漏洞检测工具支持二开或修改|漏洞探测 HK渗透工具分享 渗透安全HackTwo 2025-02-27 16:00 0x01 工具介绍 ruuoyi_vulnscan 是一款基于 Python 和 Tkinter 开发的图形化界面工具,用于检测若依 Vue 框架应用程序中的常见漏洞。该工具提供了多种漏洞检测模块,包括 Swagger 检测、Druid 检测、文件下载漏洞检测
继续阅读瑞友天翼应用虚拟化系统RAPAgent.XGI接口存在SQL注入漏洞 附POC 2025-2-27更新 南风漏洞复现文库 2025-02-27 14:57 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 瑞友天翼应用虚拟化系统简介 微信
继续阅读【0day漏洞分析】WordPress Yawave插件存在前台SQL注入漏洞(CVE-2025-1648) 原创 Mstir 星悦安全 2025-02-27 11:12 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 该漏洞影响 Yawave 版本 <=2.9.1 如果访问以下路径出现下图所示,说明存在未授权SQL注入漏洞 /wp-admin/admin-ajax.php?acti
继续阅读【安全圈】CVE-2025-20029:F5 BIG-IP系统发现命令注入漏洞,概念验证已发布 安全圈 2025-02-27 11:01 关键词 安全漏洞 在广受欢迎的网络流量管理与安全解决方案 F5 BIG-IP 系统中,发现了一个命令注入漏洞。该漏洞编号为 CVE-2025-20029,由Deloitte的Matei “Mal” Badanoiu报告,影响 iControl REST API
继续阅读创宇安全智脑 | NUUO 网络录像机 handle_site_config.php 远程命令执行等67个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-02-27 09:10 创宇安全智脑是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和
继续阅读GitLab漏洞让攻击者绕过安全控制并执行任意代码 邑安科技 邑安全 2025-02-27 08:35 更多全球网络安全资讯尽在邑安全 GitLab 已针对其 DevOps 平台中的多个高风险漏洞发布了安全咨询警告,其中包括两个关键的跨站点脚本 (XSS) 缺陷,使攻击者能够绕过安全控制并在用户浏览器中执行恶意脚本。 这些漏洞被跟踪为 CVE-2025-0475 (CVSS 8.7) 和 CVE-
继续阅读锐明技术Crocus系统 RepairRecord.do SQL注入漏洞 原创 lcyunkong 云途安全 2025-02-27 06:51 0x00 阅读须知 本文所涉及的技术及相关工具仅供学习和研究用途,严禁将其用于任何非法活动。任何个人或组织因利用本文内容从事非法行为所引发的直接或间接后果及损失,均由行为人自行承担全部责任,作者及平台对此概不负责。本文所提供的工具来源于网络,其安全性请使用
继续阅读众智维发布|天巢SkyNest R1多模态版本 – 网络安全风险的睿智“听风者” 众智维安 2025-02-27 06:00 在当今数字化浪潮席卷全球的时代,网络安全已成为保护企业和个人数字信息资产的核心关键与命脉所在。 南京众智维信息科技有限公司(以下简称:众智维科技)自主开发的天巢SkyNest安全风险运营平台(以下简称:SkyNest)应运而生,依托OPENX麒麟实验室的顶尖技术
继续阅读若依Vue框架漏洞检测工具,包括 Swagger、Druid、文件下载漏洞、SQL 注入、定时任务漏洞和任意密码修改漏洞等 黑白之道 2025-02-27 02:04 工具介绍 若依 Vue 框架应用程序中的常见漏洞。该工具提供了多种漏洞检测模块,包括 Swagger 检测、Druid 检测、文件下载漏洞检测、SQL 注入检测、定时任务漏洞检测和任意密码修改漏洞检测等 工具下载 https://g
继续阅读实战纪实 | 真实HW漏洞流量告警分析 实战安全研究 2025-02-27 02:01 扫码领资料 获网安教程 本文由掌控安全学院 – 满心欢喜 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 今年七月,我去到了北京某大厂参加HW行动,因为是重点领域—-jr,所以每天态势感知设备上都有大量的告警,当时非常累,感觉每天睡醒就是盯屏
继续阅读.NET 通过代码审计发现某办公系统逻辑绕过漏洞可泄露管理员账户和密码 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-27 00:27 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项逻辑绕过漏洞的发现引起了广泛关注。攻击者只需构造一个特定的URL请求,便能实现让接口泄露管理员敏感信息,包括用户名和密码, 因此,在日常的代码审计和评估的环节需要格外留
继续阅读(0day)漏洞预警 | 安美数字酒店宽带运营系统SQL注入漏洞 原创 深潜sec安全团队 深潜sec安全团队 2025-02-27 00:01 0x01 漏洞编号 • 暂无 0x02 危险等级 • 高危 0x03 漏洞概述 安美数字酒店宽带运营系统是通过提供系统数据分析报表和带宽动态管理功能来确保在有限的资源内优化上网体验并改善服务质量。 0x04 漏洞详情 漏洞类型:SQL注入 影响:获取敏感
继续阅读CyberMatrix 是一个基于 AI 的代码安全分析工具,专注于自动化检测和分析代码中的潜在安全漏洞。 savior-only 夜组安全 2025-02-27 00:00 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所
继续阅读灵当CRM Ambassador接口处存在SQL注入漏洞 漏洞预警 2025-2-26更新 南风漏洞复现文库 2025-02-26 15:19 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 灵当CRM 简介 微信公众号搜索:南风漏洞复
继续阅读jeecgBoot漏洞利用工具 – jeecgBootAttack GSDNC GSDK安全团队 2025-02-26 13:20 01 项目地址 https://github.com/7wkajk/jeecgBootAttack/ 02 项目介绍 jeecgBoot漏洞利用工具, 目前支持queryFieldBySql Freemarker模板注入、testConnection JD
继续阅读0day漏洞:Parallels Desktop Repack Root权限提升 Ots安全 2025-02-26 11:30 今天,我披露了一个可以绕过CVE-2024-34331补丁的0-day 漏洞。我已经确定了两种不同的方法来绕过该修复程序。这两种绕过方法都分别报告给了Zero Day Initiative (ZDI)和受影响的供应商Parallels。不幸的是,他们的回应非常不令人满意。
继续阅读CVE-2025-20029:F5 Big-IP限制性CLI中的TMSH CLI注入命令注入 Ots安全 2025-02-26 11:30 CVE-2025-20029:F5 BIG-IP 中 TMSH CLI 的命令注入 F5“tmsh”受限 CLI 中存在命令注入漏洞,该漏洞允许经过身份验证的攻击者利用低权限用户可访问的命令来绕过限制、注入任意命令并以目标系统上的“root”用户身份获取远程代
继续阅读安全通告丨网络安全漏洞通告(2025年2月) 创信华通 2025-02-26 10:59 作为国内权威的安全漏洞通告组织,创信华通基于自身的威胁情报和漏洞挖掘能力,对全球最新的安全漏洞及安全事件进行跟踪研究,在第一时间向用户提供高危漏洞、威胁攻击的解决办法及情报资讯,以帮助用户提升网络安全的预警和响应能力。 一、 漏洞态势 / 2025.2 高危漏洞预警 在第一时间内向用户发布高危漏洞预警,通告漏
继续阅读MITRE Caldera所有版本皆存在满分RCE漏洞 Jai Vijayan 代码卫士 2025-02-26 10:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 MITRE Caldera 所有版本受一个CVSS评分为10的RCE漏洞影响,最早可追溯至第一个版本。 只要运行 Caldera 的服务器上出现Go、Python和gcc,则攻击者可触发多数 Caldera 默认配置中的该
继续阅读【漏洞通告】PostgreSQL SQL注入漏洞 安迈信科应急响应中心 2025-02-26 07:43 01 漏洞概况 PostgreSQL是一个开源、强大的关系型数据库管理系统,支持SQL标准及扩展,广泛应用于企业级应用。它具备高可靠性、可扩展性、数据完整性和并发控制功能,支持多种编程语言和扩展机制。 PostgreSQL的libpq函数(如PQescapeLiteral()、
继续阅读