fscan存在命令注入漏洞[doge][doge]
fscan存在命令注入漏洞[doge][doge] 原创 qianbenhyu 小肥羊安全 2024-12-16 09:36 一个国外的哥们在fscan项目提了个issue。大概说的是fscan存在一个命令注入的漏洞。存在漏洞的代码如下 # Vulnerable way to build command command = exec.Command("cmd", "/
继续阅读标签: SQL注入
3倍积分奖励!抖音电商情报专测上线
3倍积分奖励!抖音电商情报专测上线 字节跳动安全中心 2024-12-16 08:51 专测时间 12月16日-12月29日 专测范围 资产范围 本次专项仅针对抖音中国区电商。不包括抖音生活服务、抖音外卖。 专测奖励 严重、高危情报享3倍积分 中危、低危情报享有1.5倍积分 重点情报类型 报告要求 提交时所属应用类型选择「安全情报」 漏洞标题必须备注【电商情报】,否则无法享受活动激励! 测试规范
继续阅读Exp-Tools:一款集成高危漏洞EXP的实用工具
Exp-Tools:一款集成高危漏洞EXP的实用工具 海底天上月 海底生残月 2024-12-16 07:51 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底生残月及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 海底生残月 “ 设为星标 ”, 否则可能就看不到了啦 !
继续阅读知名开源生物医学工具(InVesalius 3.1)存在远程代码执行漏洞 CVE-2024-42845
知名开源生物医学工具(InVesalius 3.1)存在远程代码执行漏洞 CVE-2024-42845 Ots安全 2024-12-16 06:15 这篇博文主要讨论了一个存在于开源医学成像工具(InVesalius 3.1)中的 远程代码执行漏洞,该漏洞通过恶意篡改 DICOM 文件来实现攻击,导致应用程序执行恶意的 Python 代码。 以下是文章的主要内容和技术背景解析: 1. 漏洞概述:
继续阅读【$25000】利用Zendesk Nday获取漏洞赏金
【$25000】利用Zendesk Nday获取漏洞赏金 白帽子左一 白帽子左一 2024-12-16 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 在这篇博客中,我将分享如何在 Zendesk 客户的默认配置中发现模板注入漏洞。 发现契机 有一天,我看到了 Rojan Rijal dai 分享的一篇文章,他演
继续阅读九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞
九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞 Superhero nday POC 2024-12-16 03:18 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章
继续阅读【漏洞预警】Cloudlog 电台日志系统 SQL 注入漏洞
【漏洞预警】Cloudlog 电台日志系统 SQL 注入漏洞 原创 马赛克安全实验室 马赛克安全实验室 2024-12-16 02:28 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读【MalDev红队开发】笔记阶段汇总
【MalDev红队开发】笔记阶段汇总 原创 玄鹄安全 高级红队专家 2024-12-16 02:00 1-前言 首先感谢各位大佬客官的支持和鼓励,目前【MalDev红队开发】系列已经完成前两部分共8个章节的实战笔记梳理,基本完全复现教材中的内容,教材中缺失的命令也进行了补全,笔记章节如下: 【MalDev-00】学习环境准备 【MalDev-01】基础入门 【MalDev-02】注入基础与实战 【
继续阅读「漏洞复现」PbootCMS entrance.php SQL注入漏洞
「漏洞复现」PbootCMS entrance.php SQL注入漏洞 冷漠安全 冷漠安全 2024-12-16 00:00 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读漏洞预警 | 用友NC SQL注入漏洞
漏洞预警 | 用友NC SQL注入漏洞 浅安 浅安安全 2024-12-16 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。 0x0
继续阅读如何有效防范勒索软件攻击?最新漏洞与防御策略
如何有效防范勒索软件攻击?最新漏洞与防御策略 原创 ITIL之家 信息安全动态 2024-12-15 22:22 点击进入信息安全资料库 一、勒索软件攻击现状解析 (一)近年攻击趋势概述 近年来,勒索软件攻击呈现出愈发严峻的态势,在数量、频次以及危害程度等方面都发生了显著变化。 从攻击数量和频次来看,呈爆发式增长趋势。据不完全统计,Ransomfeed勒索论坛数据显示,2021年至2024年,暗网
继续阅读【bWAPP】OS Command Injection(Blind)&PHP Code Injection 系统命令执行
【bWAPP】OS Command Injection(Blind)&PHP Code Injection 系统命令执行 原创 儒道易行 儒道易行 2024-12-15 18:00 那天下着很大的雨,母亲从城里走回来的时候,浑身就是一个泥人,那一刻我就知道我没有别的选择了 LDAP Injection (Search) LDAP 全英文:Lightweight Directory Acce
继续阅读Atlassian Confluence 模板注入代码执行漏洞(CVE-2023-22527)
Atlassian Confluence 模板注入代码执行漏洞(CVE-2023-22527) TtTeam 2024-12-15 16:02 原文首发在:奇安信攻防社区 https://forum.butian.net/share/2741 作者:Le1a@threatbook校验:jweny@threatbook 漏洞描述 Atlassian Confluence是一款由Atlassian开发
继续阅读泛微云桥e-Bridge SQL注入漏洞分析
泛微云桥e-Bridge SQL注入漏洞分析 原创 莫大130 安全逐梦人 2024-12-15 14:37 12月到了,今天带来泛微云桥e-Bridge SQL注入漏洞分析,从环境搭建到漏洞利用一系列操作,技术含量不高,当学习一下java代码审计 环境搭建 https://wxdownload.e-cology.com.cn/ebridge/ebridge_install_win64_serve
继续阅读通过更智能的开发策略解决软件漏洞
通过更智能的开发策略解决软件漏洞 很近也很远 网络研究观 2024-12-15 04:00 介绍了开发人员如何解决复杂系统中的漏洞、组织如何更好地支持安全编码实践,以及语言和框架在安全开发中的作用。 现代软件系统越来越复杂,开发人员可以采取什么策略来解决这种复杂性带来的隐藏漏洞? 如今,开发人员可以利用一系列相当新颖的策略,这些策略可以显著改善源代码安全性,并消除处理规模和复杂性方面的传统障碍。
继续阅读大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 网络安全与人工智能研究中心 2024-12-15 01:21 网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞,这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。 专门从事汽车网络安全的公司PCAutomotive最近在Black Hat Europe上披露了影响斯柯达Superb III轿车最新型号的12个新的安
继续阅读「漏洞复现」YourPHPCMS checkEmail SQL注入漏洞
「漏洞复现」YourPHPCMS checkEmail SQL注入漏洞 冷漠安全 冷漠安全 2024-12-14 04:57 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读Zabbix 存在SQL注入漏洞 (CVE-2024-42327)
Zabbix 存在SQL注入漏洞 (CVE-2024-42327) Mstir 星悦安全 2024-12-14 04:20 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Zabbix 是一款可监控网络的众多参数以及服务器、虚拟机、应用程序、服务、数据库、网站、云等的健康状况和完整性。Zabbix 使用灵活的通知机制,允许用户为几乎任何事件配置基于电子邮件的警报。这允许对服务器问题做出快速
继续阅读OpenWrt 严重漏洞致设备遭受恶意固件注入
OpenWrt 严重漏洞致设备遭受恶意固件注入 独眼情报 2024-12-14 03:39 OpenWrt 的 Attended Sysupgrade ( ASU ) 功能中被发现存在一个安全漏洞 ,如果成功利用,可能会被滥用来分发恶意固件包。 该漏洞的编号为 CVE-2024-54143 ,CVSS 评分为 9.3(满分 10 分),表明该漏洞严重性极高。Flatt Security 研究员
继续阅读北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞(2024-新)
北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞(2024-新) 原创 Secu的矛与盾 Secu的矛与盾 2024-12-14 03:06 漏洞描述 北京时空智友科技有限公司是一家经营范围包括技术开发、技术推广、技术转让、技术咨询、技术服务等的公司。 北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。 测绘语法: fofa-query: ‘
继续阅读考研还有VIP?人财两空要注意!|大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
考研还有VIP?人财两空要注意!|大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 黑白之道 2024-12-14 01:55 考研还有VIP?人财两空要注意! 2025年全国硕士研究生招生考试即将拉开帷幕,“包过”、“考研VIP通道”等广告词在考生群里传播。请考生及家长切勿听信谣言,铤而走险,最终只会落得人财两空! 案例分享 在2024年全国硕士研究生招生考试中,网安部门打掉一个以“考
继续阅读PHP 常见漏洞威胁函数 | 全面总结
PHP 常见漏洞威胁函数 | 全面总结 繁星01 安全君呀 2024-12-14 00:10 点击上方蓝色文字关注↑↑↑↑↑ 将 安全君呀 设为”星标 ⭐ ️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容部分选取网络,如有侵权,
继续阅读赛克安全本周漏洞推送(12.9-12.13)涉及孚盟云、用友时空、蓝凌OA、月子会所、时空VMS等产品相关漏洞
赛克安全本周漏洞推送(12.9-12.13)涉及孚盟云、用友时空、蓝凌OA、月子会所、时空VMS等产品相关漏洞 thelostworld 2024-12-14 00:00 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读漏洞预警 | YourPHPCMS SQL注入漏洞
漏洞预警 | YourPHPCMS SQL注入漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 YourphpCMS是一款完全开源免费的PHP+MYSQL系统,强大灵活的后台管理功能、任何添加多国语言功能、静态页面生成功能、自定义模型功能、自制插件安装管理功能、自定义幻灯片模板等可为企
继续阅读用友NC yerfiledown SQL注入漏洞复现
用友NC yerfiledown SQL注入漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-12-13 12:05 FOFA app="用友-UFIDA-NC" 漏洞复现 nuclei运行结果 POC与nuclei-poc已上传到知识星球 高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具
继续阅读【安全圈】Ivanti最严重的 CSA 认证绕过漏洞曝光
【安全圈】Ivanti最严重的 CSA 认证绕过漏洞曝光 安全圈 2024-12-13 11:02 关键词 安全漏洞 12月11日,Ivanti 向客户发出警告,提醒其 Cloud Services Appliance (CSA)解决方案存在一个新的最高严重性的认证绕过漏洞。 这个安全漏洞(编号 CVE-2024-11639)能够使远程攻击者在运行 Ivanti CSA 5.0.2 或更早版本的易
继续阅读【安全圈】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
【安全圈】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 安全圈 2024-12-13 11:02 关键词 安全漏洞 网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞,这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。 专门从事汽车网络安全的公司PCAutomotive最近在Black Hat Europe上披露了影响斯柯达Superb III轿车最新型号的12
继续阅读上周关注度较高的产品安全漏洞(20241202-20241208)
上周关注度较高的产品安全漏洞(20241202-20241208) 中国电信安全 2024-12-13 09:31 一、境外厂商产品漏洞 1、NETGEAR XR300 usb_approve.cgi组件缓冲区溢出漏洞 NETGEAR XR300是美国网件(NETGEAR)公司的一款无线路由器。NETGEAR XR300 v1.0.3.78版本存在缓冲区溢出漏洞,该漏洞源于usb_approve.
继续阅读一个0day的开端:失败的man与nday
一个0day的开端:失败的man与nday 蚁景网安 2024-12-13 08:30 最近在审计java的CMS,跟着文章进行nday审计,找准目标newbee-mall Version 1.0.0(新蜂商城系统),并跟着网上文章进行审计: https://blog.csdn.net/m0_46317063/article/details/131538307 下载唯一的版本,且源码README中
继续阅读斯柯达汽车漏洞披露:超过140万辆汽车面临远程控制与追踪风险
斯柯达汽车漏洞披露:超过140万辆汽车面临远程控制与追踪风险 安全客 安全客 2024-12-13 07:41 近期,安全研究人员发现大众汽车旗下斯柯达部分汽车的娱乐信息系统存在多个漏洞,这些漏洞可能被恶意攻击者利用,远程控制特定功能并实时追踪汽车的位置。 PCAutomotive近日在黑帽欧洲大会(Black Hat Europe)上披露了12个影响斯柯达Superb III轿车最新款的安全漏洞
继续阅读