手把手教你审计PHP CMS漏洞 | 某腾CMS漏洞实战案例分析
手把手教你审计PHP CMS漏洞 | 某腾CMS漏洞实战案例分析 原创 C4安全团队运营 Code4th安全团队 2025-02-14 00:05 代码审计是保障Web应用安全的关键环节,但往往被许多开发者和企业忽视。无论是小型的个人网站,还是大型的电商、金融平台,代码的安全性都至关重要。在这个数字化时代,代码漏洞可能直接导致数据泄露、资金损失甚至法律风险,因此,发现并修复代码中的漏洞,是每个开发
继续阅读标签: SQL注入
漏洞预警 | 平升电子水库安全监管平台SQL注入漏洞
漏洞预警 | 平升电子水库安全监管平台SQL注入漏洞 浅安 浅安安全 2025-02-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 平升电子水库安全监管平台通过实时监测、数据分析、预警系统和远程控制等功能,为水库管理部门提供了一种全面、高效的数字化解决方案。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感
继续阅读网安60秒丨文件上传漏洞
网安60秒丨文件上传漏洞 原创 小白学安全 小白学安全 2025-02-13 23:00 无论是社交网站的头像上传,还是论坛的附件分享,只要存在代码设计缺陷,攻击者就能通过这个“入口”轻松控制你的服务器。 01 原理 文件上传漏洞的本质是开发者未对用户上传的文件进行充分的安全校验,导致攻击者可以上传恶意文件并执行。 02 花式绕过 前端校验绕过 修改HTTP请求 黑名单绕过 黑名单机制:禁止上传指
继续阅读Ivanti 修复 Connect Secure & Policy Secure 中的三个严重漏洞
Ivanti 修复 Connect Secure & Policy Secure 中的三个严重漏洞 Bill Toulas 代码卫士 2025-02-13 10:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 已为 Ivanti Connect Secure (ICS)、Ivanti Policy Secure (IPS) 和 Ivanti Secure Acce
继续阅读字节跳动因代码侵权被判赔8266.8万元;私募股权巨头竞相“抢购”,趋势科技或将私有化 | 牛览
字节跳动因代码侵权被判赔8266.8万元;私募股权巨头竞相“抢购”,趋势科技或将私有化 | 牛览 安全牛 2025-02-13 09:57 点击蓝字·关注我们 / aqniu 新闻速览 •字节跳动因代码侵权被判赔8266.8万元 •私募股权巨头竞相“抢购”,趋势科技或将私有化 •Anthropic CEO警告:当前治理结构可能无法有效管控下一代 AI 系统 •Sandworm APT组织分支利
继续阅读创宇安全智脑 | 网心云设备管理平台未授权访问等130个漏洞可检测
创宇安全智脑 | 网心云设备管理平台未授权访问等130个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-02-13 09:36 创宇安全智脑是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态势、攻防
继续阅读微软2025年2月补丁日重点漏洞安全预警
微软2025年2月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2025-02-13 09:00 补丁概述 2025 年 2 月 11 日,微软官方发布了 2 月安全更新,针对 63 个 Microsoft CVE 和 4 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 4 个严重漏洞(Critical)、56 个重要漏洞(Impo
继续阅读Zer0 Sec团队2025新年首次开班 | 一起解锁技术新高度
Zer0 Sec团队2025新年首次开班 | 一起解锁技术新高度 原创 Syst1m Zer0 sec 2025-02-13 08:50 介绍 【暴躁老哥开课 】第三期红蓝互怼&挖洞速成班!零基础也能白嫖当脚本小子!(战术后仰) ✔️ 课程卖点 : 👉 手把手教你怎么在甲方爸爸的系统里”合法搞事”(懂的都懂) 👉 新增白嫖级src入门教程!不会挖洞?包教包会 学
继续阅读Django SQL注入漏洞(CVE-2022-28346)
Django SQL注入漏洞(CVE-2022-28346) 蚁景网安 2025-02-13 08:30 漏洞简介 Django 在2022年发布的安全更新,修复了在 QuerySet 的 annotate(), aggregate(), extra() 等函数中存在的 SQL 注入漏洞。 影响版本 2.2<= Django Django <2.2.283.2<= Django
继续阅读【漏洞通告】Ivanti CSA管理控制台命令注入漏洞(CVE-2024-47908)
【漏洞通告】Ivanti CSA管理控制台命令注入漏洞(CVE-2024-47908) 启明星辰安全简讯 2025-02-13 07:44 一、漏洞概述 漏洞名称 Ivanti CSA管理控制台命令注入漏洞 CVE ID CVE-2024-47908 漏洞类型 命令注入 发现时间 2025-02-13 漏洞评分 9.1 漏洞等级 严重 攻击向量 网络 所需权限 高 利用难度 低 用户交互 无
继续阅读Nvidia 严重漏洞可能威胁 AI 系统
Nvidia 严重漏洞可能威胁 AI 系统 独眼情报 2025-02-13 03:33 Nvidia服务器工具中被评为“严重”的漏洞可能会让攻击者入侵 AI 服务器。Wiz 的研究人员去年就发现了这个漏洞,该漏洞可能允许攻击者逃离容器并执行高级命令或查看主机上其他容器的数据。建议管理员更新他们的 Nvidia Container 软件。据 Wiz 称,此次漏洞披露大约耗时 5 个月。其团队于 9
继续阅读【漏洞通告】JeecgBoot 安全漏洞(CVE-2024-57606)
【漏洞通告】JeecgBoot 安全漏洞(CVE-2024-57606) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况 JeecgBoot是中国国炬(Jeecg)公司的一个适用于企业 Web 应用程序的 Java 低代码平台。JeecgBoot v.3.7.2版本存在安全漏洞,该漏洞源于包含一个SQL注入漏洞允许远程攻击者通过getTotalData组件获取敏感信息
继续阅读【漏洞通告】OpenProject存储的HTML注入脆弱性(CVE-2025-24892)
【漏洞通告】OpenProject存储的HTML注入脆弱性(CVE-2025-24892) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况OpenProject是一款开源的基于网络的项目管理软件。在版本低于15.2.1的情况下,应用程序在显示群组管理部分时未能正确地净化用户输入。使用HTML脚本标签创建的群组在渲染到项目中时未能得到适当的转义处理。这个问题已在OpenPro
继续阅读【漏洞通告】DWT-目录和列表WordPress主题 验证通过短代码(CVE-2025-0169)存储的跨站点脚本
【漏洞通告】DWT-目录和列表WordPress主题 验证通过短代码(CVE-2025-0169)存储的跨站点脚本 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况 DWT – Directory & Listing WordPress主题在版本3.3.4及之前存在存储型跨站脚本漏洞(Stored Cross-Site Scripting),这是
继续阅读【漏洞通告】Dreamvention Live Ajax搜索免费Live_search.SearchResults搜索SQL注入
【漏洞通告】Dreamvention Live Ajax搜索免费Live_search.SearchResults搜索SQL注入 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况Dreamvation Live AJAX Search Free up至1.0.6在OpenCart上发现了一个被分类为关键的漏洞。该漏洞影响文件/?route=extension/live_sea
继续阅读Gemini安全漏洞曝光:诱导式钓鱼攻击如何突破谷歌防御
Gemini安全漏洞曝光:诱导式钓鱼攻击如何突破谷歌防御 幻泉之洲 2025-02-13 01:37 翻者按 本文主要讲述Gemini在加入插件功能和记忆功能的情况下,如果通过诱导式钓鱼来实现突破原有的安全防御完成提示词注入攻击。 去年11月,我在测试Google Bard(现更名为Gemini)的漏洞时,对其自动工具调用机制有两个重要发现。 Part1 权限混淆攻击与自动工具调用 首先解释核心概
继续阅读【漏洞通告】IBM Security Verify Directory命令执行漏洞安全风险通告
【漏洞通告】IBM Security Verify Directory命令执行漏洞安全风险通告 嘉诚安全 2025-02-13 00:29 漏洞背景 近日,嘉诚安全监测到IBM Security Verify Directory命令执行漏洞,漏洞编号为: CVE-2024-51450。 IBM Security Verify Directory是一款企业级身份和访问管理解决方案,提供安全的用户身份
继续阅读通过 ROP 实现 RCE
通过 ROP 实现 RCE born0monday securitainment 2025-02-12 21:13 ROPing our way to RCE 在红队评估中,仅仅发现一个 XSS 或基本的配置错误往往是不够的,实现 RCE 才是真正的目标。在一次评估中,我们遇到了 XiongMai 的 uc-httpd,这是一个在全球无数 IP 摄像头中使用的轻量级 web 服务器。根据 Shod
继续阅读【漏洞挖掘】记一次985证书站Oracle注入绕WAF
【漏洞挖掘】记一次985证书站Oracle注入绕WAF 越南王子 Web安全工具库 2025-02-12 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。个人微
继续阅读BurpSuite插件 | 自动化漏洞POC探测
BurpSuite插件 | 自动化漏洞POC探测 Tsojan 星落安全团队 2025-02-12 16:00 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 一个集成的BurpSuite漏洞探测插件。 本着市面上各大漏洞探测插件的功能比较单一,因此与 TsojanSecTeam 成员决定在已有
继续阅读拿到了 SpringBoot 开发的系统,该如何代码审计分析漏洞?分享下我的一二三步的思路。
拿到了 SpringBoot 开发的系统,该如何代码审计分析漏洞?分享下我的一二三步的思路。 原创 润霖@闪石星曜 闪石星曜CyberSecurity 2025-02-12 10:19 嗨,大家好,这里是闪石星曜CyberSecurity。 众所周知,Java 语言生态在中大型企业中的使用率居高不下,可谓是如日中天,经久不衰。 使用 SpringBoot 架构来开发的 JavaWeb 系统,更是数
继续阅读信息安全漏洞周报(2025年第6期)
信息安全漏洞周报(2025年第6期) 原创 CNNVD CNNVD安全动态 2025-02-12 08:31 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年2月3日至2025年2月9日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞656个。 接报漏洞情况 本周CNNVD接报漏洞9500个,其中信息技术产品漏洞(通用型漏洞)212个,网络
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第6期,总第24期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第6期,总第24期] 原创 安钥 方桥安全漏洞防治中心 2025-02-12 05:00 感谢所有参与漏洞处置SOP征文活动的每一个人,为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程经常
继续阅读从 0 到 1:Linux 服务器应急排查实战指南
从 0 到 1:Linux 服务器应急排查实战指南 让数据更安全 德斯克安全小课堂 2025-02-12 03:31 0x01 引言 在服务器运行过程中,网络安全攻击频发,常见威胁包括 挖矿病毒、蠕虫传播、DDoS 攻击、后门程序等。这些攻击不仅影响系统稳定性,还可能造成数据泄露或业务中断。对于系统运维和应急排查人员而言,如何在最短时间内识别攻击迹象、精准定位问题来源,并迅速采取应对措施,是一项至
继续阅读月子会所ERP管理云平台 GetData.ashx SQL注入漏洞
月子会所ERP管理云平台 GetData.ashx SQL注入漏洞 Superhero nday POC 2025-02-12 02:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读Progress Software修复了多个高严重性的LoadMaster漏洞
Progress Software修复了多个高严重性的LoadMaster漏洞 鹏鹏同学 黑猫安全 2025-02-12 01:29 Progress Software已修复其LoadMaster软件中的多个高严重性安全漏洞(CVE-2024-56131、CVE-2024-56132、CVE-2024-56133、CVE-2024-56134、CVE-2024-56135)。 Progress S
继续阅读记一次某大型系统前台RCE(0day)审计经历
记一次某大型系统前台RCE(0day)审计经历 原创 C@ig0 菜狗安全 2025-02-12 01:20 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 前言 该篇文章由交流群大佬友情分享,给大佬打c
继续阅读【工具分享】xxl-job漏洞利用工具
【工具分享】xxl-job漏洞利用工具 孤独成诗 Sec探索者 2025-02-12 01:01 点击下方名片,关注公众号,一起探索网络安全技术 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢! 01 工具简介 工具支持检测xxl-job多种常见漏洞,
继续阅读Kali Linux 高级渗透测试+Web安全漏洞汇总
Kali Linux 高级渗透测试+Web安全漏洞汇总 计算机与网络安全 2025-02-11 23:57 加入知识星球: 网络安全攻防(HVV) 下载文件 本篇仅提供星球内下载,不提供人工获取 会员进群和文件下载指南 第一部分 攻击者杀链 第1章 走进Kali Linux 1.1 Kali Linux 1.2 配置网络服务和安全通信 1.2.1 调整网络代理设置 1.2.2 使用安全Shell保
继续阅读手把手教你审计金和OA系统漏洞
手把手教你审计金和OA系统漏洞 原创 chobits02 Code4th安全团队 2025-02-11 23:45 金和OA C6系统是一款功能强大、应用广泛的协同管理平台。主要是由CSharp开发,打包成dll文件。在审计源码时候要使用dnspy之类的工具反编译源码进行审计。 贴一张我之前的CNVD代码审计提交成果 这里随口唠叨一句,金和OA已经是非常古老的产物了,在我实习时就误打误撞拿到了备份
继续阅读