错误展示《黑神话悟空》客服电话,必应被曝AI信息抓取与处理存在缺陷;F5官方通告可导致会话固定与资源耗尽的高危安全漏洞 | 牛览 安全牛 2024-08-22 12:52 点击蓝字·关注我们 / aqniu 新闻速览 •《全国重点城市IPv6流量提升专项行动工作方案》印发,提出常态化监测分析和通报4项要求 •麻省理工首发AI风险管理数据库,全面覆盖777种风险 •英国企业网络威胁态势调查:每4
继续阅读「 典型安全漏洞系列 」08.文件上传漏洞详解 原创 筑梦网安 全栈安全 2024-08-21 21:16 往期回顾 「 典型安全漏洞系列 」07.OS命令注入详解 「 典型安全漏洞系列 」06.路径遍历(Path Traversal)详解 「 典型安全漏洞系列 」05.XML外部实体注入XXE详解 「 典型安全漏洞系列 」04.服务器端请求伪造SSRF详解 「 典型安全漏洞系列 」03.跨站请求
继续阅读让XSS漏洞无处遁形!0x1 迪哥讲事 2024-08-21 20:53 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 背景 安全小白团 今天我将讨论使用不同技术的多种跨站脚本(XSS) 攻击,这是我在参与各种漏洞赏金计划时发现的。 XSS:(跨站脚本)是一种安全漏洞,当攻击者向其他用户查看的网页中注入恶意脚本时,这种漏
继续阅读【安全圈】适用于macOS的多个微软应用程序发现库注入漏洞,用户数据安全受威胁 安全圈 2024-08-21 19:01 关键词 安全漏洞 根据 Cisco Talos 的最新研究,macOS 上的八个微软应用程序容易受到库注入攻击,有可能让攻击者劫持应用程序的权限并泄露敏感数据。 受影响的微软应用程序包括 Microsoft Teams、Outlook、PowerPoint 和 Word 等流行
继续阅读攻防演练实录 | 360安全大模型再狙0day漏洞,助蓝队“上大分”! 360数字安全 2024-08-20 18:26 攻防演练中,攻击方(红队)手握0day漏洞这一“杀手锏”,利用防守方(蓝队)对漏洞未知的信息差进行攻击。这类攻击往往具备更高的成功率,因为一般安全监测和防御体系难以应对未知威胁。 能否防御0day漏洞攻击,成为检验防守方安全防御体系的重要标准。近日,360安全大模型在攻防演习期
继续阅读“源”聚创新力量,“洞”见安全未来:360漏洞云亮相GOGC,共促开源漏洞安全发展 360漏洞云 2024-08-20 12:55 近日,“GOGC 2024全球开源极客嘉年华”在上海张江科学会堂盛大开幕。此次活动由上海市经信委和中国电子指导,浦东新区科经委、张江科建办、张江集团支持,上海浦东软件园与开源中国联合主办,汇集了来自世界各地的顶尖开发者、开源爱好者、企业家和技术领袖,共同探讨开源技术的
继续阅读上周关注度较高的产品安全漏洞(20240812-20240818) 原创 CNVD CNVD漏洞平台 2024-08-19 17:17 一、境外厂商产品漏洞 1、DerbyNet racerid参数跨站脚本漏洞 DerbyNet是一个简易的比赛转播项目代码。DerbyNet racerid参数存在跨站脚本漏洞,该漏洞是由于photo-thumbs.php脚本对用户提供的输入验证不当造成的。攻击者可
继续阅读雷神众测漏洞周报2024.08.12-2024.08.18 雷神众测 雷神众测 2024-08-19 17:08 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读「漏洞复现」用友NC psnImage/download SQL注入漏洞 冷漠安全 冷漠安全 2024-08-19 15:26 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读用友U8-CRM的exportdictionary.php接口处存在SQL注入漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2024-08-19 14:42 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 用友U8-CRM的/de
继续阅读通过系统调用 (POC) 绕过 AV/EDR 挂钩 原创 影域 影域实验室 2024-08-19 14:36 免责声明: 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文
继续阅读最高15万美元!盘点2024年11大漏洞赏金计划 GoUpSec 2024-08-19 10:30 2024年,漏洞赏金计划已经成为企业网络安全的关键工具,在安全策略中的重要性继续提升。通过漏洞赏金计划,企业能吸引全球各地的黑客、网络安全专家和研究人员,及时发现软件和系统中的安全漏洞,防止潜在恶意攻击。本文将总结2024年漏洞赏金计划的关键趋势和最值得关注的11个计划。 漏洞赏金的七大趋势:奖金飙
继续阅读【漏洞复现】某蓝企业管理系统 GetFieldJson SQL注入漏洞 Superhero Nday Poc 2024-08-19 10:04 0x00 免责声明 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请
继续阅读长亭科技成为国家信息安全漏洞库漏洞技术研究联盟创始成员单位 长亭安全观察 2024-08-19 09:50 8月15日,国家信息安全漏洞库漏洞技术研究联盟(以下简称“联盟”)成立仪式在广州成功举办。长亭科技以其在漏洞技术研究领域的先进能力,受邀成为联盟8家创始成员单位之一。 国家信息安全漏洞库自2009年成立以来,一直致力于漏洞数据的采集、验证、通报和消控工作,是我国数量规模最大、漏洞种类最全的漏
继续阅读某微商城系统RCE漏洞审计 Mstir 实战安全研究 2024-08-18 12:01 0x00 前言 微商城系统有优选,超值捡漏功能,人气销量,以及商家推荐功能,还有订单查询,智能客服等功能. Fofa:"/Mao_Public/js/jquery-2.1.1.min.js" 0x01 前台SQL注入漏洞 位于 /goods.php 存在很明显的SQL注入漏洞,直接GET传入
继续阅读功能最全的Nacos 命令执行、内存马注入等利用工具 点击关注👉 马哥网络安全 2024-08-17 17:00 点击上方 蓝字 ,后台回复 【 合集 】 获取 网安资源 1 工具介绍 1、部署函数id问题 没办法 存一下吧✅ 2、本地加载 ✅ 3、关闭时要结束进程✅ 4、内存马太大 怎么办 ? 命令写内存jar?精简 ?❎ 换蚁剑✅ 5、判断系统 人工选择路径✅ 6、擦屁股/爆菊 7、byp
继续阅读预装应用漏洞导致数百万Google Pixel 手机用户面临风险 flyme 独眼情报 2024-08-17 14:18 iVerify 的网络安全研究人员与 Palantir Technologies 和 Trail of Bits 合作,发现全球数百万台 Google Pixel 设备存在严重漏洞。该漏洞源自预装的“Showcase.apk”应用程序包,存在严重的安全风险,允许网络犯罪分子执行
继续阅读【1day | 漏洞复现】某在线团队协作工具存在SQL注入漏洞 小明同学 小明信安 2024-08-17 13:55 0x01 免责声明 disclaimer 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收集于互联网,真实性及安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若
继续阅读通过浏览器扩展中的链接消息实现通用代码执行 Ots安全 2024-08-17 11:33 通过在浏览器和浏览器扩展中链接各种消息传递 API,我演示了如何从网页跳转到“通用代码执行”,从而破坏同源策略和浏览器沙盒。我提供了两个影响数百万用户的新漏洞披露作为示例。此外,我还演示了如何结合使用大型数据集查询和静态代码分析来大规模发现此类漏洞。 注意:扩展案例研究已于 4 月向其所有者披露,但尚未修补,
继续阅读喜讯|安恒信息成为国家信息安全漏洞库漏洞技术研究联盟创始成员单位 安恒信息 2024-08-17 10:32 为深入学习贯彻习近平总书记关于网络强国的重要思想,落细落实国家漏洞治理工作整体部署,进一步强化漏洞治理生态,国家信息安全漏洞库漏洞技术研究联盟(以下简称“联盟”)成立仪式于8月15日在广州成功举办。中国信息安全测评中心处长任望、共青团广东省委学校部副部长陈宇鹏等领导以及安恒信息等多家网络安
继续阅读漏洞预警 | 中成科信票务管理系统SQL注入漏洞 浅安 浅安安全 2024-08-17 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 中成科信票务管理系统是专注于演出剧院、体育场馆、旅游景区、游乐园、场地活动的票务管理系统,并为特殊客户量身定制票务应用解决方案,可根据用户的要求采用不同的技术载体实现门票的防伪。 0x03 漏
继续阅读漏洞预警 | 用友U8Cloud反序列化和SQL注入漏洞 浅安 浅安安全 2024-08-17 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友U8Cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。 0x03 漏洞详情 漏洞类型: 反序列化 影响: 执行任意命令 简述: 用友
继续阅读hackerone上TOP5的开放重定向漏洞 原创 骨哥说事 骨哥说事 2024-08-17 00:00 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ ****# 1.central.uber
继续阅读2023腾讯游戏安全PC决赛复现 原创 吾爱pojie 吾爱破解论坛 2024-08-16 10:31 作者论坛账号:Kvancy 前言 最近一直在做往年腾讯游戏安全PC端的复现,但是2023年决赛的题做到第三问就开始有点做不动了,想在网上找找题解但是并没有找到,于是便想分享一下自己的解题经验和第三问的思路。鉴于知识的局限性,文中可能存在疏漏或不足之处,如果发现任何错误或不准确之处,请不吝赐教。
继续阅读【总结】设备漏洞挖掘思路 黑白之道 2024-08-16 09:57 在日常渗透过程中,可能会遇到各种路由,上网行为管理等设备,这时候该怎么去对这些设备进去快速挖掘就成为我们想要解决的问题 1.信息收集 1.1 弱口令搜索 对于设备黑盒来说,信息收集也是一个比较重要的过程,更多的时候可以去寻找web后台密码,一些设备可以得到比如通过寻找网上的用户指导手册可得,如 也可以通过cnvd以及cve查找相
继续阅读Hvv 日记 威胁情报 8.15 Windows TCPIP 远程执行代码漏洞(CVE-2024-38063) Khan安全团队 2024-08-16 08:24 Windows TCPIP 远程执行代码漏洞(CVE-2024-38063) 漏洞描述 WindowsTCP/P 远程代码执行漏洞,攻击者能够通过向目标主机发送特制的IP6 数据包来远程执行任意代码。由于该漏洞不需要用户交互,并且可以
继续阅读miscan!简单好用的漏洞管理工具 原创 白帽学子 白帽学子 2024-08-16 08:11 在我们日常的网络安全工作中,经常会面临各种各样的挑战。无论是进行hvv演练,还是参与红蓝对抗,漏洞管理和检测始终是我们的重中之重。 最近,我在工作中接触到一款名为miscan的工具,它给我的日常工作带来了不少便利。这款开源工具不仅支持本地模式,还能进行协作,非常适合我们团队中的多个成员一起使用。尤其是
继续阅读漏洞预警 | Zabbix代码执行漏洞 浅安 浅安安全 2024-08-16 08:00 0x00 漏洞编号 – CVE-2024-22116 0x01 危险等级 – 高危 0x02 漏洞概述 Zabbix是一款企业级开源监控解决方案,提供了多种方式来收集、转换、分析和可视化数据,监控任何你想要的东西。 0x03 漏洞详情 CVE-2024-22116 漏洞类型: 代码执行
继续阅读【资源推荐】收集所有命令执行技巧的靶场(更新中) | 本文附一些网络安全学习资源 原创 visionsec 安全视安 2024-08-16 07:01 目录 Level 0 : 代码执行&命令执行 Level 1 : 一句话木马和代码执行 Level 2 : PHP代码执行函数 Level 3 : 命令执行 Level 4 : 命令执行 – SHELL 运算符 Level 5
继续阅读