Java反序列化漏洞 | Fastjson反序列化漏洞原理+漏洞复现
Java反序列化漏洞 | Fastjson反序列化漏洞原理+漏洞复现 原创 神农Sec 神农Sec 2025-01-31 01:03 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下
继续阅读标签: SQL注入
经典华为路由器漏洞复现详细分析(包括整个漏洞链)
经典华为路由器漏洞复现详细分析(包括整个漏洞链) 黑白之道 2025-01-31 00:19 文章来源:奇安信攻防社区 链接:https://forum.butian.net/share/4044 作者:sn1w 本篇文章详细讲述了 华为路由器CVE-2017-17215的漏洞分析全流程,通过逆向分析出虚表来解决没有交叉引用导致漏洞定位困难的问题,以及漏洞url定位等多种在iot分析中会用到的ti
继续阅读深入浅出API测试|搜集分析与漏洞挖掘实战
深入浅出API测试|搜集分析与漏洞挖掘实战 迪哥讲事 2025-01-30 12:35 深入浅出API测试 标题展示 所有动态网站都由 API 组成,因此 SQL 注入等经典 Web 漏洞可以归类为 API 测试。因此测试之前要尽可能的去测试功能点,观察代理流量,发现API目录收集信息,拓展攻击面。 例如,某个功能的请求的 API 端点是 /api/books 这会 API 进行交互,从图书馆中检
继续阅读代码审计 | 如何获取CVE漏洞编号
代码审计 | 如何获取CVE漏洞编号 原创 zkaq-yusi 掌控安全EDU 2025-01-30 04:02 扫码领资料 获网安教程 本文由掌控安全学院 – yusi 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 前言:最近在网上找了套源码,想着练一下审计,也不能说有多深入,但是学习一下审计流程,源码下载在文章末尾 环境搭建
继续阅读跨平台漏洞扫描器 — EZ(V1.9.2)
跨平台漏洞扫描器 — EZ(V1.9.2) m-sec-org 网络安全者 2025-01-29 16:10 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
继续阅读xxl-job漏洞综合利用工具 — xxl-job-attack
xxl-job漏洞综合利用工具 — xxl-job-attack pureqh Web安全工具库 2025-01-29 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,
继续阅读原创工具|Venom-JWT渗透工具 – 针对JWT漏洞和密钥爆破服务渗透测试
原创工具|Venom-JWT渗透工具 – 针对JWT漏洞和密钥爆破服务渗透测试 老呆 Tab Sec 2025-01-29 14:11 此文章只为学习而生,请勿干违法违禁之事,本公众号只在技术的学习上做以分享,开发个工具帮助进行项目上的渗透测试, 所有行为与本公众号无关 。 毒液Venom系列项目又+1,好耶。 后续开发的项目 渗透服务类工具Github:https://github.
继续阅读fastjson1.2.24 1.2.27漏洞复现
fastjson1.2.24 1.2.27漏洞复现 原创 Hacker 0xh4ck3r 2025-01-28 03:00 入职大厂必会 写在前面的话:请注意本篇博客最后面的附(注意java版本),本篇博客采用的是LDAP服务getshell,rmi同理。阅读本篇博客需了解fastjson,ldap,rmi。 启动靶场 在终端里进入事先进入准备好的vulhub靶场目录下, cd fastjson/
继续阅读多个 Git 漏洞导致凭证泄露
多个 Git 漏洞导致凭证泄露 独眼情报 2025-01-28 02:29 引言 大家好,我是 RyotaK(@ryotkak),GMO Flatt Security 公司的安全工程师。 2024年10月,我在参与GitHub漏洞赏金计划进行漏洞挖掘时,对GitHub Enterprise Server的调查感到有些乏味,于是决定转向GitHub Desktop寻找漏洞。 在阅读GitHub De
继续阅读某se同综合漏洞利用工具 — YisaiExploitGUI
某se同综合漏洞利用工具 — YisaiExploitGUI CRlife 网络安全者 2025-01-27 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请
继续阅读车载协议网络安全测试与验证技术
车载协议网络安全测试与验证技术 GRCC IoVSecurity 2025-01-27 13:01 点击上方 蓝色字体,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资合作群… 相关文章 诊断协议的故障注入基于MAVLink协议的无人机系统安全通信方案扩展 SA
继续阅读Kubernetes 集群远程代码执行漏洞致攻击者可接管所有 Windows 节点
Kubernetes 集群远程代码执行漏洞致攻击者可接管所有 Windows 节点 邑安科技 邑安全 2025-01-27 07:17 更多全球网络安全资讯尽在邑安全 在 Kubernetes 中发现了一个名为 CVE-2024-9042 的严重漏洞,使攻击者能够在 Kubernetes 集群内的所有 Windows 节点上以 SYSTEM 权限执行远程代码。 Akamai 安全研究员 Tomer
继续阅读GitHub漏洞允许恶意仓库泄露用户凭据
GitHub漏洞允许恶意仓库泄露用户凭据 邑安科技 邑安全 2025-01-27 07:17 更多全球网络安全资讯尽在邑安全 最近发现了 Git 相关项目(包括 GitHub Desktop、Git Credential Manager、Git LFS 和 GitHub Codespaces)中的关键安全漏洞,这些漏洞涉及对基于文本的协议的不当处理,使攻击者有可能泄露用户凭据。 这一发现凸显了软件
继续阅读LTE和5G网络实现中存在119个安全漏洞,可导致大规模通信中断;调查显示:仅7%受害者在支付勒索软件赎金后成功恢复数据 |牛览
LTE和5G网络实现中存在119个安全漏洞,可导致大规模通信中断;调查显示:仅7%受害者在支付勒索软件赎金后成功恢复数据 |牛览 安全牛 2025-01-27 03:49 点击蓝字·关注我们 / aqniu 新闻速览 2024年全国检察机关共起诉各类侵害企业数据安全犯罪近千人 民政部、全国妇联等18部门印发《困境儿童个人信息保护工作办法》 49个零日漏洞利用、88.6万美元奖金,Pwn2Own
继续阅读WordPress CF Link Shortcode 插件存在前台SQL注入漏洞(CVE-2024-12404)
WordPress CF Link Shortcode 插件存在前台SQL注入漏洞(CVE-2024-12404) Mstir 星悦安全 2025-01-26 13:13 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 CF Internal Link Shortcode是一个灵活的短代码和查找工具,用于在帖子/页面内容(或任何解析短代码的地方)创建内部链接。在文章编辑屏幕的侧边栏中添加了
继续阅读思科曝9.9分关键权限提升漏洞;|知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车
思科曝9.9分关键权限提升漏洞;|知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车 黑白之道 2025-01-26 05:20 思科曝9.9分关键权限提升漏洞; 近日,思科发布软件更新,解决影响会议管理的关键安全漏洞。该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。漏洞编号为CVE – 2025 – 20156,CVSS评分为9.9(满分10.0)
继续阅读ChatGPT在漏洞管理中的创新应用
ChatGPT在漏洞管理中的创新应用 原创 周文权 数缘信安社区 2025-01-25 23:02 ChatGPT能直接执行 多样化的漏洞管理任务吗? 撰文 | 周文权 编辑 | 刘梦迪 一、背景介绍 随着人工智能技术的快速发展,大型语言模型(LLMs)如ChatGPT在代码分析领域引起了广泛关注。ChatGPT展示了处理基础代码分析任务的能力,例如生成抽象语法树,这表明它有潜力理解代码语法和静态
继续阅读博斯外贸管理软件V6.0 log/logined.jsp SQL注入漏洞
博斯外贸管理软件V6.0 log/logined.jsp SQL注入漏洞 Superhero Nday Poc 2025-01-25 17:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会
继续阅读缓冲区溢出学习及漏洞复现
缓冲区溢出学习及漏洞复现 sec0nd安全 2025-01-25 15:28 免责声明 本文内容仅用于教育和学习目的,旨在帮助读者了解计算机安全、漏洞原理以及防御机制。所有讨论的技术和方法均为理论性质,仅供安全研究人员、学生和专业人士在合法、授权的环境中进行学习和研究。作者坚决反对任何未经授权的非法入侵行为,并倡导合法、合规的安全研究和实践。 一、什么是缓冲区溢出漏洞 unsetunset1.缓冲
继续阅读友数聚 CPAS审计管理系统V4 getCurserIfAllowLogin SQL注入漏洞
友数聚 CPAS审计管理系统V4 getCurserIfAllowLogin SQL注入漏洞 Superhero nday POC 2025-01-25 10:26 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权
继续阅读CVE-2024-43468 :通过 PoC 代码揭示 Microsoft Configuration Manager 漏洞
CVE-2024-43468 :通过 PoC 代码揭示 Microsoft Configuration Manager 漏洞 Ots安全 2025-01-25 10:20 Synacktiv 的安全研究员 Mehdi Elyassa 公布了 Microsoft Configuration Manager (MCM) 中一个严重漏洞的技术细节和概念验证 (PoC) 漏洞代码,该漏洞编号为 CVE-2
继续阅读思科曝9.9分关键权限提升漏洞
思科曝9.9分关键权限提升漏洞 老布 FreeBuf 2025-01-25 02:02 近日,思科发布软件更新,解决影响会议管理的关键安全漏洞。该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。漏洞编号为CVE – 2025 – 20156,CVSS评分为9.9(满分10.0),是思科会议管理REST API中的权限提升漏洞。 思科周三在公告中称:“此漏
继续阅读漏洞预警 | 红帆OA SQL 注入漏洞
漏洞预警 | 红帆OA SQL 注入漏洞 浅安 浅安安全 2025-01-25 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 红帆OA是红帆科技基于微软.NET最新技术开发的信息管理平台,红帆oa系统为医院提供oA功能,完成信息发布、流程审批、公文管理、日程管理、工作安排、文件传递、在线沟通等行政办公业务。 0x03 漏洞详
继续阅读漏洞预警 | 通达OA SQL注入漏洞
漏洞预警 | 通达OA SQL注入漏洞 浅安 浅安安全 2025-01-25 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 通达OA是一款协同办公自动化软件,由北京通达信科科技有限公司自主研发,为各行业不同规模的众多用户提供信息化管理能力。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 通达OA的
继续阅读黑客攻防演练!!揭秘Sync Breeze缓冲溢出漏洞利用全过程!?
黑客攻防演练!!揭秘Sync Breeze缓冲溢出漏洞利用全过程!? 原创 泷羽Sec—边酱 泷羽Sec-边酱 2025-01-24 14:23 黑客攻防演练:揭秘Sync Breeze缓冲溢出漏洞利用全过程 在网络安全的世界里,攻防对抗时刻都在上演 今天 咱们就来揭开一个神秘的“黑客操作”——Sync Breeze缓冲溢出漏洞利用过程 的面纱。 一、发现前端限制漏洞 当我们打开Sync Bree
继续阅读phpMyAdmin 触发 XSS 攻击的安全漏洞
phpMyAdmin 触发 XSS 攻击的安全漏洞 网安百色 2025-01-24 11:30 点击上方 蓝字 关注我们吧~ 漏洞详情 phpMyAdmin 作为一个开源的数据库管理工具,允许用户通过web界面进行数据库的管理操作。安全研究人员发现,在该工具的一些功能中,输入参数未经过充分验证,从而为潜在的攻击者提供了通过网页注入恶意JavaScript代码的机会。 恶意代码可以在目标用户的浏览器
继续阅读【安全圈】思科曝9.9分关键权限提升漏洞
【安全圈】思科曝9.9分关键权限提升漏洞 安全圈 2025-01-24 11:01 关键词 安全漏洞 近日,思科发布软件更新,解决影响会议管理的关键安全漏洞。 该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。 漏洞编号为CVE – 2025 – 20156,CVSS评分为9.9(满分10.0),是思科会议管理REST API中的权限提升漏洞。 思科周三
继续阅读每周蓝军技术推送(2025.1.18-1.24)
每周蓝军技术推送(2025.1.18-1.24) 原创 天元实验室 M01N Team 2025-01-24 10:01 Web安全 Cookie Sandwich:新型HttpOnly Cookie窃取技术 https://portswigger.net/research/stealing-httponly-cookies-with-the-cookie-sandwich-technique C
继续阅读【免费领】新手必备!Web安全漏洞实战入门教程
【免费领】新手必备!Web安全漏洞实战入门教程 蚁景网络安全 2025-01-24 09:32 点击蓝字/关注我们 今日福利 一线大佬漏洞实战经验总结 帮助零基础新手入门,速成漏洞实战技术 全程案例解析漏洞工具、检测及注入方法 限 时 福 利 , 请 及 时 领 取 哦 ~ 该资料内容较多,无法列出全部目录,以下为节选的部分目录: 长按识别下方二维码,回复 “0124” , 免费领取~【请注意:不
继续阅读【漏洞通告】字符串定位器 <= 2.6.6 - 未经身份验证的 PHP 对象注入 (CVE-2024-10936)
【漏洞通告】字符串定位器 <= 2.6.6 – 未经身份验证的 PHP 对象注入 (CVE-2024-10936) 安迈信科应急响应中心 2025-01-24 04:12 01 漏洞概况 WordPress的String定位插件存在PHP对象注入漏洞,该漏洞存在于所有版本至包括2.6.6版本。漏洞出现在’recursive_unserialize_replace
继续阅读