【漏洞通告】Exim存在SQL注入漏洞
【漏洞通告】Exim存在SQL注入漏洞 安迈信科应急响应中心 2025-02-26 07:43 01 漏洞概况 Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,主要用于在Unix和类Unix系统中发送、接收和转发电子邮件。该产品主要使用客户行业分布广泛。 攻击者可以通过向易受攻击的Exim服务器发送特制的ETRN请求来利用此漏洞,从而可能导
继续阅读标签: SQL注入
通过ROP实现RCE的一次技术探索之旅
通过ROP实现RCE的一次技术探索之旅 山石网科 山石网科安全技术研究院 2025-02-25 17:21 **ROP实现RCE:这不是魔法,这是技术的魅力!**** 在网络安全领域,远程代码执行(RCE)一直是攻击者和防御者关注的焦点。 今天,为大家带来一篇深度文章[1],它将引领我们深入探讨如何通过ROP(Return-Oriented Programming)实现RCE。 一、前言 在红队演
继续阅读Sql注入漏洞批量检测工具一键排查SQL注入漏洞|漏洞探测
Sql注入漏洞批量检测工具一键排查SQL注入漏洞|漏洞探测 HK渗透工具分享 渗透安全HackTwo 2025-02-25 16:01 0x01 工具介绍 SQLMC(SQL注入大规模检查器)一款自动化扫描工具。📌 高效批量检测:面对甲方提供的数百个站点,SQLMC支持通过脚本集成批量扫描,告别手动逐个测试的低效模式,一键启动全自动漏洞排查,效率提升90%!注意:现在只对常读和星标的公众号才展示大
继续阅读XWiki SolrSearchMacros 远程代码执行漏洞PoC(CVE-2025-24893)
XWiki SolrSearchMacros 远程代码执行漏洞PoC(CVE-2025-24893) iSee857 Web安全工具库 2025-02-25 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
继续阅读SRC中的重置密码漏洞及案例
SRC中的重置密码漏洞及案例 Z2O安全攻防 2025-02-25 13:12 免责声明: 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者及本公众号不为此承担任何责任。 02 文章正文 1.密码重置链接不过期 当用户请求更改密码时,他们会收到一个密码重置链接来重置密码,这是正常行为。但密码重置链接也应在一段时间后
继续阅读MongoDB库中存在多个漏洞,可用于在Node.js服务器上实现RCE
MongoDB库中存在多个漏洞,可用于在Node.js服务器上实现RCE Ionut Arghire 代码卫士 2025-02-25 10:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全平台 OPSWAT报道称,MongoDB的库 Mongoose Object Data Modeling (ODM) 中存在两个严重漏洞,可导致攻击者在 Node.js 应用服务器尚实现远程代
继续阅读CISA:Craft CMS代码注入漏洞已遭利用
CISA:Craft CMS代码注入漏洞已遭利用 Bill Toulas 代码卫士 2025-02-25 10:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施网络安全局 (CISA) 提醒称,Craft CMS 中的一个远程代码执行漏洞 (CVE-2025-23209) 已遭利用。 CVE-2025-23209的CVSS评分8.0,是代码注入(RCE)漏洞,影响
继续阅读今日更新:虚拟机镜像磁盘解密 | 系统0day安全(第7期)
今日更新:虚拟机镜像磁盘解密 | 系统0day安全(第7期) 看雪课程 看雪学苑 2025-02-25 09:57 录播更新: 4.6 虚拟机镜像磁盘解密(1) https://www.kanxue.com/book-140-5066.htm 4.7 虚拟机镜像磁盘解密(2) https://www.kanxue.com/book-140-5067.htm 本周直播开启: 近些年来不论是HVV行动
继续阅读CVE-2024-56145 Craft CMS 变量覆盖导致 Twig SSTI 漏洞
CVE-2024-56145 Craft CMS 变量覆盖导致 Twig SSTI 漏洞 原创 KCyber 自在安全 2025-02-25 01:21 漏洞信息 Craft CMS 是一个灵活、用户友好的内容管理系统,用于创建自定义的数字化网络体验等。CVE-2024-56145 中,若开启了 register_argc_argv ,那么攻击者可构造恶意请求利用模版注入漏洞实现 RCE 。影响版
继续阅读碰撞 .NET machineKey 实现远程代码执行漏洞
碰撞 .NET machineKey 实现远程代码执行漏洞 专攻.NET安全的 dotNet安全矩阵 2025-02-25 00:20 近期,Microsoft Threat Intelligence监测到一起由未知威胁行动者发起的攻击事件。该行动者利用从公开资源中获取的 .NET 机器密钥,成功注入了恶意代码,并部署了Godzilla,尽管其活动范围有限。经调查,发现问题的根源在于部分开发人员错
继续阅读漏洞致大模型遭“零元购”?360全方位守护企业AI系统安全
漏洞致大模型遭“零元购”?360全方位守护企业AI系统安全 360数字安全 2025-02-24 10:07 News Today 随着以DeepSeek为代表的开源大模型逐渐渗透到各行各业,引发新一代人工智能技术发展新浪潮。然而,一些企业或个人在本地部署大模型时,由于配置不当导致服务暴露于公网,直接引发了严重的安全问题。攻击者免费利用这些暴露的服务可以随意调用大模型资源,不仅造成资源滥用,还可能
继续阅读上周关注度较高的产品安全漏洞(20250217-20250223)
上周关注度较高的产品安全漏洞(20250217-20250223) 原创 CNVD CNVD漏洞平台 2025-02-24 08:47 一、境外厂商产品漏洞 1、SAP Supplier Relationship Management路径遍历漏洞 SAP Supplier Relationship Management是一款领先的采购供给链管理软件,旨在帮助企业优化供给商关系,提高采购效率和质量。
继续阅读若依Vue漏洞检测工具(2月21日更新)
若依Vue漏洞检测工具(2月21日更新) kk12-30 Web安全工具库 2025-02-22 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。个人微信:iv
继续阅读ViewStates 漏洞,利用 .NET 机器密钥实施代码注入攻击
ViewStates 漏洞,利用 .NET 机器密钥实施代码注入攻击 专攻.NET安全的 dotNet安全矩阵 2025-02-22 07:32 近期,Microsoft Threat Intelligence监测到一起由未知威胁行动者发起的攻击事件。该行动者利用从公开资源中获取的 .NET 机器密钥,成功注入了恶意代码,并部署了Godzilla,尽管其活动范围有限。经调查,发现问题的根源在于部分
继续阅读弱权限目录成漏洞温床!3 个真实案例教你如何防范文件劫持!
弱权限目录成漏洞温床!3 个真实案例教你如何防范文件劫持! VlangCN HW安全之路 2025-02-22 02:51 在 Windows 系统中,权限管理往往是安全性的重要一环。然而,有些目录或文件的权限设置不当,就像给攻击者敞开了一扇门,让他们能够植入恶意文件、执行代码,甚至劫持合法进程或服务。这些“弱权限目录”由于缺乏有效的访问控制和安全审查,成为了攻击者眼中的“香饽饽”。他们可以利用这
继续阅读高效检测 SQL 注入漏洞,自动化实战经验分享
高效检测 SQL 注入漏洞,自动化实战经验分享 黑白之道 2025-02-22 01:30 在渗透测试项目中,经常会收集大量的接口信息,为了提高效率,通常会使用工具来完成自动化测试,针对大量接口的漏洞探测,xray 这方面做的非常不错,但对于 POST 请求,探测方式只能采用被动请求或逐个接口测试的方式。 但是我在实际的工作中,需要针对大量 GET、POST 接口和参数做漏洞探测,而目前比较关注的
继续阅读5th域安全微讯早报【20250222】046期
5th域安全微讯早报【20250222】046期 网空闲话 网空闲话plus 2025-02-21 23:58 2025-02-22 星期六Vol-2025-046 今日热点导读 1. 五角大楼加速“网络司令部 2.0 ”审查,要求列出权限愿望清单 DISA :国防部将在财年末实现所有军种的联合 ICAM 连接 3. 美国成立特别工作组管控人工智能和加密货币 Bybit 交易所遭黑客攻击,损
继续阅读sqlmap_gui是一款图形界面化的 SQL 注入漏洞测试工具
sqlmap_gui是一款图形界面化的 SQL 注入漏洞测试工具 suqianjue 无影安全实验室 2025-02-21 12:46 免责声明: 本篇文章仅用于技术交流, 请勿利用文章内的相关技术从事非法测试 , 由于传播、利用本公众号无影安全 实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责任,一旦造成后果请自行承担! 如有
继续阅读Google 发布 PAN-OS 防火墙中 CVE-2025-0110 命令注入漏洞的 PoC
Google 发布 PAN-OS 防火墙中 CVE-2025-0110 命令注入漏洞的 PoC Ots安全 2025-02-21 12:05 一名 Google 研究人员披露了Palo Alto Networks PAN-OS 防火墙软件漏洞 (CVE-2025-0110) 的详细信息和概念验证 (PoC) 漏洞利用。该漏洞的 CVSSv4 评分为 8.6(高),可能允许经过身份验证的攻击者以管理
继续阅读每周高级威胁情报解读(2025.02.14~02.20)
每周高级威胁情报解读(2025.02.14~02.20) 原创 威胁情报中心 奇安信威胁情报中心 2025-02-21 10:51 2025.02.14~02.20 攻击团伙情报 – 多个俄 APT 组织滥用 Signal 秘密监视加密对话 APT-C-28(ScarCruft)组织利用无文件方式投递RokRat的攻击活动分析 Lazarus Group 在针对开发人员的攻击中部署 M
继续阅读每周网络安全简讯 ( 2025年 第8周 )
每周网络安全简讯 ( 2025年 第8周 ) 国信中心 极客安全 2025-02-21 08:44 2024年2月15日至2025年2月21日,国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理,并按APT攻击、勒索攻击、网络动态、漏洞资讯、木马病毒进行了归类,共计19条。 01 APT攻击 01 APT组织Lazarus利用Marstech1恶意程序对目标用户实施
继续阅读【漏洞通告】PostgreSQL SQL注入漏洞(CVE-2025-1094)
【漏洞通告】PostgreSQL SQL注入漏洞(CVE-2025-1094) 启明星辰安全简讯 2025-02-21 06:48 一、漏洞概述 漏洞名称 PostgreSQL SQL注入漏洞 CVE ID CVE-2025-1094 漏洞类型 SQL注入 发现时间 2025-02-21 漏洞评分 8.1 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 高 用户交互 无 PoC/EXP
继续阅读漏洞预警 | 安美数字酒店宽带运营系统SQL注入漏洞
漏洞预警 | 安美数字酒店宽带运营系统SQL注入漏洞 原创 安全笔记 安全笔记 2025-02-21 06:13 0x00 漏洞编号 • 暂无 0x01 危险等级 • 高危 0x02 漏洞概述 安美数字酒店宽带运营系统是通过提供系统数据分析报表和带宽动态管理功能来确保在有限的资源内优化上网体验并改善服务质量。 0x03 漏洞详情 漏洞类型:SQL注入 影响:获取敏感信息 简述:安美数字酒店宽带运营
继续阅读【真 0day】Parallels Desktop Repack提权0day漏洞
【真 0day】Parallels Desktop Repack提权0day漏洞 独眼情报 2025-02-21 03:57 今天我要披露一个0day漏洞 ,这个漏洞可以绕过 CVE-2024-34331 的补丁。我发现了两种不同的方法 可以绕过这个修复。这两种绕过方法已分别报告给了 零日漏洞计划(ZDI) 和受影响的厂商 Parallels 。不幸的是,他们的回应令人深感失望。 考虑到厂商在收到
继续阅读用友NC importPml SQL注入漏洞(XVE-2023-29120)
用友NC importPml SQL注入漏洞(XVE-2023-29120) Superhero nday POC 2025-02-21 02:56 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读“万模裸奔”,DeepSeek正颠覆网络安全行业游戏规则
“万模裸奔”,DeepSeek正颠覆网络安全行业游戏规则 GoUpSec 2025-02-21 02:13 GoUpSec点评:“村村点火”的生成式AI正引发一场企业网络安全革命。AI工具引入了全新的攻击媒介和数据安全威胁,传统的静态防御体系已形同虚设,网络安全行业面临一场技术/工具、方法和技能的全面更新。 对于企业而言,AI既是提升生产力的强大工具,同时也为攻击者和恶意内部人员提供了“大杀器”。
继续阅读SQL注入漏洞批量检查工具
SQL注入漏洞批量检查工具 原创 白帽学子 白帽学子 2025-02-21 00:11 之前护网值班差点把我整破防了,凌晨三点还在和SQL注入的告警斗智斗勇。今天就唠个实战中刚解锁的新姿势——怎么在红蓝对抗时高效排查全网SQL注入点。 上个月我们给某电商平台做资产梳理,甲方爸爸突然甩过来三百多个二级域名让做漏洞普查。传统手工测SQL注入?怕是要测到明年双十一。这时候突然想起之前圈内大佬推荐的SQL
继续阅读5th域安全微讯早报【20250221】045期
5th域安全微讯早报【20250221】045期 网空闲话 网空闲话plus 2025-02-20 22:38 2025-02-21 星期五Vol-2025-045 今日热点导读 1. 俄数字发展部提议豁免信息安全公司免受个人数据法约束 2. 意大利计划打造本土低轨道卫星系统,替代 Starlink 3. 美国证券交易委员会重塑加密货币部门,聚焦新兴技术监管 4. 美军网络司令部呼吁各军
继续阅读DVWA靶场保姆级通关教学
DVWA靶场保姆级通关教学 原创 Z1eaf 泷羽Sec-Z1eaf 2025-02-20 13:36 DVWA介绍 DVWA(Damn Vulnerable Web Application) 一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 另外,DVWA 还可以手动调整靶
继续阅读泛微e-cology 9 x.FileDownloadLocation接口存在SQL注入漏洞 附POC
泛微e-cology 9 x.FileDownloadLocation接口存在SQL注入漏洞 附POC 2025-2-20更新 南风漏洞复现文库 2025-02-20 11:52 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 泛微e-
继续阅读