Palo Alto Networks PAN-OS存在远程命令执行漏洞CVE-2024-9474 附POC 2024-12-10更新 南风漏洞复现文库 2024-12-10 15:50 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. P
继续阅读QNAP修复Pwn2Own大赛利用的多个漏洞 Ionut Arghire 代码卫士 2024-12-10 10:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周末,QNAP系统修复在2024年Pwn2Own 爱尔兰大赛中演示的QTS 和 QuTS Hero 中的多个漏洞。 在 Pwn2Own 大赛中,参赛人员因发现QNAP 产品 exp 而获得数万美元的奖励,其中一个exp甚至获得
继续阅读研究员在DeepSeek 和 Claude AI 中发现多个提示注入漏洞 Ravie Lakshmanan 代码卫士 2024-12-10 10:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员 Johann Rehberger 在DeepSeek 人工智能 (AI) 聊天机器人中发现了一个缺陷(现已修复),可导致恶意人员通过提示注入攻击的方式控制受害者账户。 Rehbe
继续阅读从勒索软件到APT:揭开制造业面临的8大网络安全威胁 软件评测中心 2024-12-10 10:00 点击蓝字,关注 “软件评测中心” 超过83%的制造企业在过去一年内遭遇勒索软件攻击,其中26%的企业被迫停产,高达68%的受害者不得不支付赎金……制造业正面临前所未有的网络安全挑战。这不仅凸显了制造业脆弱的网络安全现状,更预示着一场席卷全球制造业的网络风暴正在逼近。 为何制造业安全态势日益严峻?
继续阅读用友U8 CRM ajaxgetborrowdata.php SQL注入漏洞 Superhero nday POC 2024-12-10 08:54 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读网络安全知多少【科普】5:找业务本身也可能就是漏洞,就是风险 安小圈 2024-12-10 00:45 安小圈 第563期 网络安全 科普 “ 因此,安全是发展的前提和保障。没有网络安全,就没有国家安全,更谈不上业务安全。” 在当今数字化时代,企业业务的复杂性和多样性不断增加,业务功能的设计与实现成为企业竞争力的关键因素之一。 然而,业务本身及其功能设计往往潜藏着诸多漏洞和安全隐患,这些风险不仅可
继续阅读用友NC /portal/pt/task/process SQL注入漏洞 Superhero Nday Poc 2024-12-09 18:30 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会
继续阅读CVE-2024-48307|JeecgBoot SQL 注入漏洞(POC) alicy 实战安全研究 2024-12-09 16:18 0x00 前言 JeecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键
继续阅读MITRE 分享了 2024 年最危险的 25 个软件漏洞 Rhinoer 犀牛安全 2024-12-09 16:00 MITRE 分享了今年最常见、最危险的 25 大软件漏洞列表,涵盖了 2023 年 6 月至 2024 年 6 月期间披露的 31,000 多个漏洞。 软件漏洞是指软件代码、架构、实现或设计中发现的缺陷、错误、漏洞和错误。 攻击者可以利用它们来破坏运行有漏洞软件的系统,从而使他们
继续阅读渗透测试 — Web漏洞介绍和Sql注入漏洞 Web安全工具库 2024-12-09 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/0ef2ab23aa61 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 各 类 学 习 教 程 下 载 合 集 https://pan.quark.cn/s/8c91ccb
继续阅读【漏洞情报】海信智能公交企业管理系统AdjustWorkHours.aspx SQL注入漏洞 cexlife 飓风网络安全 2024-12-09 15:16 漏洞描述: 海信智能公交企业管理系统AdјuѕtWоrkHоurѕ.аѕрх接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服
继续阅读Zabbix SQL 注入漏洞(CVE-2024-42327) 原创 xaitx 天启实验室 2024-12-09 12:52 点击蓝字 关注我们 漏洞介绍 Zabbix前端上具有默认用户角色或任何其他赋予API访问权限的角色的非管理员用户帐户都可以利用此漏洞。addRelatedObjects函数的Cuser类中存在SQLi,该函数是从Cuser.get函数调用的,该函数适用于每个具有API访问
继续阅读CVE-2024-55563:交易中继干扰漏洞对比特币闪电网络构成威胁 Ots安全 2024-12-09 12:00 最近披露的漏洞(编号为 CVE-2024-55563)揭示了比特币网络交易中继机制中存在的关键安全风险,可能对闪电网络的稳定性和安全性产生影响。此漏洞被归类为“交易中继干扰攻击”,恶意行为者可以利用比特币全节点的固有限制来破坏网络,并可能损害闪电通道的完整性。 漏洞技术分析: 该漏
继续阅读海信智能公交企业管理系统 AdjustWorkHours.aspx SQL注入漏洞 Superhero nday POC 2024-12-09 06:35 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告
继续阅读网安牛马碰见WAF如何凑出渗透报告漏洞数量? Jie安全 2024-12-09 03:47 前言 网安牛马数载,蓦然回首,不过是些许风霜罢了…… 遥想熊猫当年,面向WAF防护的渗透网站满眼惆怅,在当初内卷严重的牛马市场,如果你提交的渗透测试报告漏洞数量太少,再多借口也没用,只能被迫接受“菜鸡”称号,沦为测评、驻场的主要工作者,从此告别渗透、攻防……
继续阅读2024年10月份恶意软件之“十恶不赦”排行榜 何威风 河南等级保护测评 2024-12-09 03:44 利用虚假的 CAPTCHA 页面来传播 Lumma Stealer 恶意软件,该恶意软件已攀升至月度恶意软件排行 榜第四位。 该活动以其全球影响力而著称,通过两种主要感染媒介影响多个国家:一种涉及破解的游戏下载 URL,另一种是通过针对 GitHub 用户的网络钓鱼电子邮件作为一种创新的攻击
继续阅读无补丁,I-O Data路由器0Day漏洞被利用 天唯科技 天唯信息安全 2024-12-09 03:00 日本计算机紧急响应小组(CERT)警告称 ,黑客正在利用I-O Data路由器设备中的零日漏洞来修改设备设置、执行命令,甚至关闭防火墙。 I-O Data在其网站上发布的安全公告中承认确实存在三个零日漏洞,但目前暂无完整的修复补丁,预计将在2024年12月18日发布,因此在此之前用户将面临比
继续阅读重生之我在推特逛漏洞 jylove 神农Sec 2024-12-09 02:45 扫码领资料 获网安教程 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关 原文链接:https://zone.huoxian.cn/d/2956 作者:jylove 0x1 前言 今天刚好闲着没事,逛了一下推特,刚好看到一个漏洞有关Keyc
继续阅读【漏洞复现】某平台-Sc-Interview-search-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-09 02:16 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而
继续阅读2024年OWASP LLM安全漏洞年度报告 龙猫 星尘安全 2024-12-09 02:00 市场概述 在生成式AI技术迅猛发展的2024年,企业对AI技术的采用呈现爆发式增长。根据Menlo Ventures发布的最新市场数据显示,2024年AI相关投资规模已达到138亿美元的历史新高,较2023年增长达6倍。调查数据显示,72%的美国企业决策者正在扩大其生成式AI工具的应用范围,反映出市场对
继续阅读漏洞预警 | 思普企业运营管理平台SQL注入漏洞 浅安 浅安安全 2024-12-09 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 思普企业运营管理平台是一款专为企业提供全方位运营管理解决方案的软件平台,旨在帮助企业实现运营流程的可视化、自动化和协同化管理,提升运营效率和管理水平。 0x03 漏洞详情 漏洞类型: SQL注
继续阅读用可命令执行的大模型进行偷家 原创 银空飞羽 飞羽技术工坊 2024-12-08 17:40 PortSwigger 大模型安全靶场的第二篇记录,学习大模型安全的思路。 靶场地址: https://portswigger.net/web-security/all-labs#web-llm-attacks 题目介绍 考点:利用大模型API的漏洞攻击 场景:这是一个包含系统命令注入执行API漏洞的靶场
继续阅读挖洞荒?工作两年半的渗透测试实习生如何挖到第一个高危sql注入漏洞?慎用! 迪哥讲事 2024-12-08 15:28 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 今天聊点歪门邪道。跟刚入行还是实习生的小伙子交流的时候
继续阅读「漏洞复现」圣乔ERP系统 DwrUtil SQL注入漏洞 冷漠安全 冷漠安全 2024-12-08 12:21 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!
继续阅读一文看懂安卓JSB风险漏洞挖掘 原创 比心皮卡丘 暴暴的皮卡丘 2024-12-08 05:16 JSB基础 JavaScript Bridge(简称 JSB)是一种在移动端开发中广泛使用的技术,用于实现 JavaScript 与本地代码(如 Java 或 Kotlin)之间的通信。虽然 JSB 为混合开发提供了强大的能力,但其不当使用可能导致严重的安全问题。 本文将围绕以下内容展开: 1. JS
继续阅读【大量存在】用友NC yerfile_down_bill存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-12-07 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **用友NC是用友网络科技股份有限公司开发的一款企业级管理软件,旨在为企业提供全方位的管理服务。主要面向大型企业和集团公司,提供全面的财务和业务管理解决
继续阅读Spring Properties 远程代码执行 srcincite securitainment 2024-12-07 15:54 Remote Code Execution with Spring Properties Spring Properties 远程代码执行 最近,一位以前的学生向我展示了一个非常有趣的 Spring 应用程序中的未经身份验证的漏洞,他们在利用这个漏洞时遇到了困难。上
继续阅读网安瞭望台第10期:开源机器学习框架存在漏洞、GammaDrop 恶意软件 原创 扬名堂 东方隐侠安全团队 2024-12-07 13:35 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 研究人员发现流行开源机器学习框架存在漏洞 网络安全研究人员披露了多个影响开源机器学习(ML)工具和框架(如 MLflow、H2O、
继续阅读赛克安全本周漏洞推送(12.2-12.6) thelostworld 2024-12-07 12:07 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!马赛克安全实验室情报申
继续阅读CVE-2024-45318|SonicWall SMA100 SSL-VPN缓冲区溢出漏洞 alicy 信安百科 2024-12-07 11:00 0x00 前言 SonicWall 是全球知名的网络安全解决方案提供商,专注于防火墙、VPN、入侵防御等领域,其客户覆盖企业、服务提供商、电子商务、政府和教育机构等。 SMA 100系列的Web应用程序防火墙(WAF)和数据泄露防护(DLP)功能(可
继续阅读