记一次JS中的漏洞挖掘
记一次JS中的漏洞挖掘 bcloud 亿人安全 2025-01-02 08:17 声明 本文章所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法. 此文章不允许未经授权转发至除先知社区以外的其它平台!!! 前言 当我们拿到网站,但是又不知道密码,目录扫描也扫不出有效的信息时,我们可以从前端JS源码入手,找找是否有可以利用的点,或
继续阅读标签: SQL注入
你乘上的是列车还是彗星?
你乘上的是列车还是彗星? 原创 QAX病毒响应中心 奇安信病毒响应中心 2025-01-02 07:11 一、背景 暗黑彗星(DarkComet)是一款自2012年起被广泛用于网络攻击的远程访问木马(RAT),由Jean-Pierre Lesueur(DarkCoderSc)开发,尽管其最初开发意图是为合法的远程控制提供便利,但因其功能全面、隐蔽性强,迅速被恶意攻击者用于非法目的,包括窃取敏感信息
继续阅读上周关注度较高的产品安全漏洞(20241216-20241222)
上周关注度较高的产品安全漏洞(20241216-20241222) 金瀚信安 2025-01-02 06:57 一、境外厂商产品漏洞 1、Google Chrome安全绕过漏洞(CNVD-2024-48384) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome存在安全绕过漏洞,攻击者可利用该漏洞绕过安全限制。 参考链接: https://www
继续阅读山石说AI|突破模糊测试极限:大模型驱动的软件漏洞深度挖掘
山石说AI|突破模糊测试极限:大模型驱动的软件漏洞深度挖掘 原创 山石网科 山石网科新视界 2025-01-02 06:00 【山石说AI】•第15篇 大模型在网络安全中的最新应用进展(四) 软件漏洞的发现向来是一场与时间的赛跑,而大模型的引入为模糊测试注入了全新的智慧动力。跳脱传统随机变异的局限,大模型精准的语言和逻辑推理能力正重新定义模糊测试的效率与深度,助力安全团队快速定位潜在威胁,为软件安
继续阅读【漏洞复现】SecFox运维安全管理与审计系统FastJson反序列化漏洞
【漏洞复现】SecFox运维安全管理与审计系统FastJson反序列化漏洞 FL_Clover 网络安全007 2025-01-02 04:03 漏洞介绍 在当今复杂多变的计算机环境中SecFox运维安全管理与审计系统在近期的一次安全检查中发现了一个FastJson反序列化漏洞。该漏洞源于FastJson库在解析json数据时,未对输入进行严格校验,导致攻击者可以通过构造特殊的json数据,实现远
继续阅读【漏洞复现】某平台-checkLoginQrCode-delay-sql注入漏洞
【漏洞复现】某平台-checkLoginQrCode-delay-sql注入漏洞 原创 南极熊 SCA御盾 2025-01-02 02:29 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的
继续阅读警惕!国产工业路由器零日漏洞疑遭攻击者利用
警惕!国产工业路由器零日漏洞疑遭攻击者利用 黑白之道 2025-01-02 02:02 该漏洞据悉已被两拨研究人员发现在野利用迹象,互联网上约有1.5万台设备受影响。 安全内参12月31日消息,美国漏洞情报公司VulnCheck警告称,有威胁行为者正在利用四信(Four-Faith)工业路由器的漏洞部署反向Shell。 被利用的漏洞编号为CVE-2024-12856,CVSS评分为7.2,由Vul
继续阅读实战利器 50个渗透攻防命令速查!
实战利器 50个渗透攻防命令速查! 原创 牛叫瘦 HACK之道 2025-01-02 02:00 一、信息收集与分析 1. nmap -sV -O -A -p- 目标IP • 这是一个综合的nmap扫描命令,用于发现目标主机的开放端口、服务版本、操作系统类型以及可能的漏洞。-sV 选项用于检测服务版本,-O 用于检测操作系统类型,-A 启用操作系统和服务检测的高级选项,-p- 表示扫描所有端口。
继续阅读重磅!国内最专业的 [ .NET 代码审计 ] 体系化学习互动社区,强势来袭!
重磅!国内最专业的 [ .NET 代码审计 ] 体系化学习互动社区,强势来袭! 小嘟 安全洞察知识图谱 2025-01-02 01:41 01 .NET漏洞背景 微软的.NET技术广泛应用于全球企业级产品,包括其知名的 Exchange、SharePoint等,国内如某友的Cloud、某通的T系列、某蝶的云产品 等也广泛采用。各行业核心业务均 依赖于此技术。但近期,在国家护网演练中,这些基于.NE
继续阅读【风险提示】国产工业路由器零日漏洞疑遭攻击者利用
【风险提示】国产工业路由器零日漏洞疑遭攻击者利用 安全内参编译 安小圈 2025-01-02 00:45 安小圈 第580期 漏洞提示 · 工业路由器 该漏洞据悉已被两拨研究人员发现在野利用迹象,互联网上约有1.5万台设备受影响。 安全内参12月31日消息,美国漏洞情报公司VulnCheck警告称,有威胁行为者正在利用四信(Four-Faith)工业路由器的漏洞部署反向Shell。 被利用的漏洞编
继续阅读ysoSimple:简易的Java漏洞利用工具,集成Java、Hessian、XStream、Shiro550反序列化等
ysoSimple:简易的Java漏洞利用工具,集成Java、Hessian、XStream、Shiro550反序列化等 B0T1eR 夜组安全 2025-01-02 00:11 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
继续阅读漏洞预警 | 泛微E-Bridge SQL注入漏洞
漏洞预警 | 泛微E-Bridge SQL注入漏洞 浅安 浅安安全 2025-01-02 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 泛微E-Bridge是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。 0x03 漏洞详情 漏洞类型: SQL注入
继续阅读还在手撸 POC?这个 AI 脚本让你直接起飞!
还在手撸 POC?这个 AI 脚本让你直接起飞! 原创 泰阿安全实验室 泰阿安全实验室 2025-01-01 14:29 前言 好久不见,各位朋友们.恰逢新的一年,送个小见面礼给各位,以弥补长期未更新的错.兜兜转转已经3-4年过去了,看着公众号后台有人关注亦有人取关,何尝不是人生百态.新的一年我会重新分配精力在公众号上分享更优质的内容给关注的朋友们.更多会是倾向AI 安全,AI 工作流,AI 编程
继续阅读专题丨低空经济网络和数据安全风险分析研究
专题丨低空经济网络和数据安全风险分析研究 泛安全 2025-01-01 14:04 ※ 信息社会政策探究的思想库 ※ ※ 信息通信技术前沿的风向标 ※ 作者简介 **张洋 工业互联网创新中心(上海)有限公司行业研究员,主要从事数据安全、个人数据保护、数据空间等方面的研究工作。 论文引用格式: 张洋. 低空经济网络和数据安全风险分析研究[J]. 信息通信技术与政策, 2024, 50(11)
继续阅读PWN入门:三打竞态条件漏洞-DirtyCOW
PWN入门:三打竞态条件漏洞-DirtyCOW 福建炒饭乡会 看雪学苑 2025-01-01 10:00 从动态链接库加载机制时,我们就知道了一个事情,Linux会将需要初始化操作推迟到真正使用时才会初始化,而不是在准备阶段就直接进行所有的初始化操作。 这一点也体现在进程的使用过程当中。 首先,上面提到过进程创建时会先复制父进程的内容然后再进行修改,然后就是假如我们通过strace追踪进程时会发现
继续阅读漏洞预警 | 易思智能物流无人值守系统 SQL注入漏洞
漏洞预警 | 易思智能物流无人值守系统 SQL注入漏洞 浅安 浅安安全 2025-01-01 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 易思智能物流无人值守系统是一种基于人工智能、物联网和自动化技术的无人值守物流解决方案,旨在提高物流运营效率,降低人工成本,增强物流过程的智能化与安全性。 0x03 漏洞详情 漏洞类型:
继续阅读漏洞预警 | WordPress Plugin KiviCare SQL注入漏洞
漏洞预警 | WordPress Plugin KiviCare SQL注入漏洞 浅安 浅安安全 2025-01-01 00:01 0x00 漏洞编号 – # CVE-2024-11728 0x01 危险等级 – 高危 0x02 漏洞概述 KiviCare是一个专为WordPress网站设计的诊所和患者管理系统插件,主要功能是帮助医疗服务提供者、诊所、医院及独立医生管理预约
继续阅读【漏洞预警】Apache Traffic Control SQL注入漏洞(CVE-2024-45387)
【漏洞预警】Apache Traffic Control SQL注入漏洞(CVE-2024-45387) cexlife 飓风网络安全 2024-12-31 15:53 漏洞预警:Apache Traffic Control(ATC)是一个开源的、基于 Web 的负载均衡和流量管理解决方案,主要用于管理和配置内容分发网络(CDN)和其他网络流量分发基础设施,Traffic Ops是 Apache
继续阅读信息安全漏洞周报(2024年第53期)
信息安全漏洞周报(2024年第53期) 原创 CNNVD CNNVD安全动态 2024-12-31 13:24 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周2024年12月23日至2024年12月29日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞568个。 接报漏洞情况 本周CNNVD接报漏洞55928个,其中信息技术产品漏洞(通用型漏洞)
继续阅读【安全圈】严重漏洞使大量Four-Faith路由器面临远程利用
【安全圈】严重漏洞使大量Four-Faith路由器面临远程利用 安全圈 2024-12-31 11:00 关键词 安全漏洞 VulnCheck 发现了一个影响Four-Faith(四信)工业路由器的关键新漏洞,并有证据表明漏洞正在被广泛利用。 据悉,该漏洞是一个操作系统 (OS) 命令注入错误,被追踪为CVE-2024-12856,仅在远程攻击者能够成功验证身份时起作用。但是,如果与路由器关联的默
继续阅读「漏洞复现」用友U8 Cloud ReleaseRepMngAction SQL注入漏洞复现(CNVD-2024-33023)
「漏洞复现」用友U8 Cloud ReleaseRepMngAction SQL注入漏洞复现(CNVD-2024-33023) 冷漠安全 冷漠安全 2024-12-31 09:53 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本
继续阅读2024年度盘点之漏洞威胁:AI技术降低漏洞利用门槛,网络边缘设备成重灾区
2024年度盘点之漏洞威胁:AI技术降低漏洞利用门槛,网络边缘设备成重灾区 360数字安全 2024-12-31 08:10 数字时代,一切都架构在软件、网络、大数据之上。由于硬件、软件、协议在具体实现或操作系统安全策略上总会存在缺陷,所以漏洞无法避免。在即将过去的2024年中,安全漏洞数量持续增长,类型日趋多样化。 据360漏洞情报平台全网漏洞监测显示,2024年全球范围内共计披露出44622个
继续阅读雷神众测漏洞周报2024.12.23-2024.12.29
雷神众测漏洞周报2024.12.23-2024.12.29 原创 雷神众测 雷神众测 2024-12-31 05:57 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读CVE-2024-12856 四信Four-Faith路由器存在命令注入漏洞
CVE-2024-12856 四信Four-Faith路由器存在命令注入漏洞 云梦DC 云梦安全 2024-12-31 03:52 CVE-2024-12856漏洞描述 Four-Faith 路由器型号 F3x24 和 F3x36 受到操作系统 (OS) 命令注入漏洞的影响。至少固件版本 2.0 允许经过身份验证的远程攻击者在通过 apply.cgi 修改系统时间时通过 HTTP 执行任意 OS
继续阅读美国财政部“史诗级”黑客事件:祸起网安公司产品漏洞
美国财政部“史诗级”黑客事件:祸起网安公司产品漏洞 原创 网空闲话 网空闲话plus 2024-12-31 01:34 前情回顾 号外号外!美国财政部工作站遭黑 美国财政部在致监管该机构的参议院委员会主席及资深成员的披露信中表示,由于此次黑客攻击事件背后怀疑是一个高级持续性威胁(APT)组织,因此将其视为“重大网络安全事件”。 祸起网络安全公司产品漏洞 据Bleepingcomputer早先的报道
继续阅读【漏洞通告】Apache Traffic Control SQL注入漏洞安全风险通告
【漏洞通告】Apache Traffic Control SQL注入漏洞安全风险通告 嘉诚安全 2024-12-31 01:31 漏洞背景 近日,嘉诚安全监测到Apache Traffic Control中存在一个SQL注入漏洞,漏洞编号为: CVE-2024-45387。 Apache Traffic Control(ATC)是一个开源的、基于Web的负载均衡和流量管理解决方案,主要用于管理和配
继续阅读攻击者正在利用 Four-Faith 工业路由器中的命令注入漏洞来部署反向 shell
攻击者正在利用 Four-Faith 工业路由器中的命令注入漏洞来部署反向 shell 会杀毒的单反狗 军哥网络安全读报 2024-12-31 01:00 导读 漏洞情报公司 VulnCheck 警告称,已观察到威胁组织利用 Four-Faith 工业路由器中的漏洞来部署反向 shell。 该漏洞编号为 CVE-2024-12856(CVSS 评分为 7.2),是一个操作系统命令注入问题,可以远程
继续阅读漏洞预警 | 方正全媒体采编系统SQL注入漏洞
漏洞预警 | 方正全媒体采编系统SQL注入漏洞 浅安 浅安安全 2024-12-31 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 方正全媒体新闻采编系统是一个面向媒体深度融合的技术平台,它以大数据和AI技术为支撑,集成了指挥中心、采集中心、编辑中心、发布中心、绩效考核中心、资料中心等多个功能,全面承载“策采编审发存传评”的
继续阅读漏洞预警 | Sophos Firewall SQL注入、弱凭证和代码注入漏洞
漏洞预警 | Sophos Firewall SQL注入、弱凭证和代码注入漏洞 浅安 浅安安全 2024-12-31 00:03 0x00 漏洞编号 – # CVE-2024-12727 CVE-2024-12728 CVE-2024-12729 0x01 危险等级 – 高危 0x02 漏洞概述 Sophos防火墙是由Sophos公司提供的一款功能强大、易于管理的网络安全产
继续阅读CVE-2024-42327:Zabbix SQL注入漏洞分析漏洞分析
CVE-2024-42327:Zabbix SQL注入漏洞分析漏洞分析 船山信安 2024-12-30 18:00 漏洞简介 Zabbix 是一款开源的网络监控和报警系统,用于监视网络设备、服务器和应用程序的性能和可用性。 攻击者可以通过API接口,向 user.get API端点发送恶意构造的请求,注入SQL代码,以实现权限提升、数据泄露或系统入侵。 影响版本 6.0.0 <= Zabbi
继续阅读