预售满10人开班!系统0day安全-二进制漏洞攻防(第3期)
预售满10人开班!系统0day安全-二进制漏洞攻防(第3期) 小雪 看雪学苑 2024-02-29 18:08 好消息!好消息! 系统0day安全-二进制漏洞攻防(第3期)火热开课啦! 想要深入了解二进制漏洞攻防的知识和实践经验吗?想要掌握模糊测试、AFL原**** 理、ASAN原理、网络协议漏洞挖掘、Linux内核漏洞挖掘、AOSP漏洞挖掘以及CodeQL代码审计等多个方面的技能吗? 预售期间享
继续阅读标签: SQL注入
蓝凌OA wechatLoginHelper存在SQL注入漏洞 附POC软件
蓝凌OA wechatLoginHelper存在SQL注入漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-28 22:58 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 蓝凌OA wechatLoginHelper简介
继续阅读【漏洞预警】Apache James MIME4J HTTP头注入CVE-2024-21742
【漏洞预警】Apache James MIME4J HTTP头注入CVE-2024-21742 cexlife 飓风网络安全 2024-02-28 22:50 漏洞描述:Apache James 提供 在 JVM 上运行的完整、稳定、安全和可扩展的邮件服务器,当使用MIME4J的DOM来构建消息时,由于不恰当的输入验证,导致了HTTP头注入漏洞,攻击者能够在MIME消息中插入意外的头信息,以此发起
继续阅读【Web渗透】若依框架漏洞合集
【Web渗透】若依框架漏洞合集 Whoami 晨曦安全团队 2024-02-28 22:29 首先上若依官网下载源码,官网地址: https://gitee.com/y_project/RuoYi 我选择下载使用的ruoyi V4.5 1、安装MySQL数据库。 在本地安装MySQL数据库,我使用的是MySQL8.0.23版本,建议使用新版MySQL,使用MySQL5.几的版本导入若依sql文件会
继续阅读第79篇:记一次Oracle注入漏洞提权的艰难过程
第79篇:记一次Oracle注入漏洞提权的艰难过程 迪哥讲事 2024-02-28 20:31 Part1 前言 大家好,我是ABC_123 。前不久遇到一个Oracle注入漏洞,是搜索型的盲注漏洞,只能用折半法一个字符一个字符的猜解数据,使用sqlmap可以直接跑出来,经过判断是DBA权限。接下来就是想办法通过这个注入点获取操作系统的权限,但是遇到了很多问题,于是搭建环境研究了一天,最后终于获取
继续阅读[未公开]亿赛通某接口存在SQL注入漏洞
[未公开]亿赛通某接口存在SQL注入漏洞 qT 晴天安全 2024-02-28 19:58 0x01 漏洞简述 — 亿赛通电子文档管理系统是一款专业的文档管理工具,集成了多种功能:包括文档存储、检索、共享、权限控制等,帮助用户高效管理海量文档。系统支持多种文件格式,如文本、图片、视频等,可通过关键字快速检索目标文档,实现信息快速定位。同时,系统提供灵活的权限设置,确保文档安全性。用户可以进行在线预
继续阅读合勤科技修复防火墙产品中的远程代码执行漏洞
合勤科技修复防火墙产品中的远程代码执行漏洞 Ryan Naraine 代码卫士 2024-02-28 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 合勤科技推出防火墙和访问点产品的多个漏洞补丁,并提醒称未修复系统易遭远程代码执行攻击。 合勤科技提到,至少有四个漏洞可导致企业易受代码执行、命令注入和拒绝服务利用攻击。 这些漏洞简述如下: CVE-2023-6397:某些防火墙版本
继续阅读WordPress 插件 LiteSpeed 漏洞影响500万个站点
WordPress 插件 LiteSpeed 漏洞影响500万个站点 THN 代码卫士 2024-02-28 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 插件 LiteSpeed Cache 中存在一个漏洞,可导致未认证用户提升权限。该漏洞的编号是CVE-2023-40000,已在2023年10月的5.7.0.1版本中修复。 Patchstack 公司的研
继续阅读24年1月必修安全漏洞清单|腾讯安全威胁情报中心
24年1月必修安全漏洞清单|腾讯安全威胁情报中心 腾讯威胁情报中心 腾讯安全威胁情报中心 2024-02-28 16:54 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合
继续阅读腾讯安全威胁情报中心推出2024年1月必修安全漏洞清单
腾讯安全威胁情报中心推出2024年1月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2024-02-28 11:49 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2024年1月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读【安全圈】WordPress:严重 SQLi 漏洞威胁 200K+ 网站
【安全圈】WordPress:严重 SQLi 漏洞威胁 200K+ 网站 安全圈 2024-02-27 19:02 关键词 安全漏洞 一个名为 Ultimate Member 的流行 WordPress 插件中披露了一个严重的安全漏洞,该插件拥有超过 200,000 个活跃安装。 该漏洞被跟踪为 CVE-2024-1071,CVSS 得分为 9.8(满分 10 分)。安全研究员克里斯蒂安·斯维尔斯
继续阅读【安全圈】台湾合勤科技证实,Zyxel 修补防火墙产品中的远程代码执行错误
【安全圈】台湾合勤科技证实,Zyxel 修补防火墙产品中的远程代码执行错误 安全圈 2024-02-27 19:02 关键词 黑客勒索 台湾网络设备制造商合勤科技(Zyxel)针对其防火墙和接入点产品中的多个缺陷推出了补丁,并警告说未打补丁的系统存在远程代码执行攻击的风险。 Zyxel是一家一直在努力解决软件安全问题的公司,它记录了至少四个漏洞,这些漏洞使企业面临代码执行、命令注入和拒绝服务利用的
继续阅读cve漏洞搜索工具 — cvemap
cve漏洞搜索工具 — cvemap 吾爱破解 黑客白帽子 2024-02-27 07:00 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 0x01 工具介绍 ProjectDiscovery组织开发的CVEMap 是一个开源命令行界面 (CLI) 工具,可让您探索常见漏洞。它旨在提供一个简化且用户友
继续阅读CVE-2024-22024
CVE-2024-22024 原创 fgz AI与网安 2024-02-27 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。 01 — 漏洞名称 Ivanti Pulse Connect S
继续阅读SQL注入漏洞引起的内网渗透 | 实战
SQL注入漏洞引起的内网渗透 | 实战 渗透安全团队 2024-02-26 22:06 一 、 前言 近期一直再学习内网渗透,实验什么的都是玩玩靶机。 这一天朋友说有个站点有漏洞,就发过来看了一些是一个SQL注入,继而开启了这次内网渗透。 水平有限,并且初学哈哈哈哈! 没有什么技术要点纯属误打误撞,如果有什么错误的地方希望大佬多多指点! 二 、 WEB点进入内网 这次渗透是从站库分离的情况下在深入
继续阅读【漏洞通告】WordPress Bricks Builder远程命令执行漏洞CVE-2024-25600
【漏洞通告】WordPress Bricks Builder远程命令执行漏洞CVE-2024-25600 深瞳漏洞实验室 深信服千里目安全技术中心 2024-02-26 17:13 漏洞名称: WordPress Bricks Builder远程命令执行漏洞(CVE-2024-25600) 组件名称: WordPress Bricks Builder 影响范围: WordPress Bricks
继续阅读雷神众测漏洞周报2024.2.19-2024.2.25
雷神众测漏洞周报2024.2.19-2024.2.25 原创 雷神众测 雷神众测 2024-02-26 15:39 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读开源应用程序导致 XSS 到 RCE 漏洞缺陷
开源应用程序导致 XSS 到 RCE 漏洞缺陷 Ots安全 2024-02-25 17:09 跨站脚本 (XSS) 是 Web 应用程序中最常见的攻击之一。如果攻击者可以将 JavaScript 代码注入应用程序输出中,这不仅会导致 cookie 盗窃、重定向或网络钓鱼,而且在某些情况下还会导致系统完全受损。 在本文中,我将展示如何在 Evolution CMS、FUDForum 和 GitBuc
继续阅读【高危】浙江大华技术城市安防监控DSS系统存在信息泄露漏洞
【高危】浙江大华技术城市安防监控DSS系统存在信息泄露漏洞 皓月当空w 2024-02-25 14:19 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞早知道 漏洞名称: 浙江大华技术城市安防监控DSS系统存在信息泄露漏洞 漏洞出现时间:2024年2月25日 影响等级:高危 漏洞说明: 浙江大华技术股份有限公司城市安防监控DSS系统存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
继续阅读用友U8 Cloud smartweb2.RPC.d xxe漏洞
用友U8 Cloud smartweb2.RPC.d xxe漏洞 原创 fgz AI与网安 2024-02-25 07:27 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 先介绍下什么是XXE漏洞? XXE漏洞全称XML External Entity Inject
继续阅读某CMS的通用漏洞挖掘过程 | 干货
某CMS的通用漏洞挖掘过程 | 干货 ShawnDing 渗透安全团队 2024-02-24 22:28 前言 本文所涉及的漏洞已提交CNVD且厂商已完成漏洞修复,请勿用于非授权测试!!! 现在比较严格,目标名称均以某CMS指代,见谅。 前言 本来计划在cnvd公开这个小漏洞的时候就把这篇小作文写了,最近一忙给整忘了,现在补上。 某次项目中遇到这个cms,进行了常规黑盒测试后没发现什么大问题,检查
继续阅读某恩特文件上传漏洞分析
某恩特文件上传漏洞分析 AGONI 白帽子左一 2024-02-24 12:04 扫码领资料 获网安教程 0X01 前言 最近这段时间某恩特,公众号到处在发,该系统的0day漏洞,可谓是漫天飞了,且利用方式也及其简单,本文就是对该系统目前所爆出来的漏洞进行一个漏洞分析,并在最后给出一个该系统未被公布的0day 基本上都是这两天的,非常的集中 0X02 漏洞分析 我们来看一下最开始原始的POC 定位
继续阅读人工智能开发供应链披露的八个漏洞
人工智能开发供应链披露的八个漏洞 原创 何威风 祺印说信安 2024-02-24 00:01 人工智能网络安全初创公司Protect AI披露了用于开发内部人工智能和机器学习模型的开源供应链中发现的八个漏洞的详细信息。全部都有 CVE 编号,其中 1 个具有严重严重性,7 个具有高严重性。 这些漏洞通过 Protect AI 的二月份漏洞 报告 进行披露。他们是: – CVE-2023
继续阅读最新Invicti-Professional-v24.2.0.43677漏洞扫描器下载
最新Invicti-Professional-v24.2.0.43677漏洞扫描器下载 原创 城北 渗透安全HackTwo 2024-02-24 00:00 前言 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 Invicti Professional Edition 是一款
继续阅读WordPress的Bricks主题存在远程命令执行漏洞CVE-2024-25600 附POC软件
WordPress的Bricks主题存在远程命令执行漏洞CVE-2024-25600 附POC软件 南风徐来 南风漏洞复现文库 2024-02-23 22:52 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. WordPress简介
继续阅读YouDianCMS友点系统漏洞合集
YouDianCMS友点系统漏洞合集 原创 小白菜安全 小白菜安全 2024-02-23 17:30 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围 漏洞复现 1.i
继续阅读速修复!Joomla 漏洞可导致RCE攻击
速修复!Joomla 漏洞可导致RCE攻击 Bill Toulas 代码卫士 2024-02-22 18:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Joomla 内容管理系统中存在5个漏洞,可被用于在易受攻击网站上执行任意代码。 这些漏洞影响多个 Joomla 版本,已在 5.0.3和4.4.3 中修复。这些漏洞概述如下: CVE-2024-21722:当用户的MFA方法被修改后
继续阅读上周关注度较高的产品安全漏洞(20240205-20240218)
上周关注度较高的产品安全漏洞(20240205-20240218) 国家互联网应急中心CNCERT 2024-02-22 16:44 一、境外厂商产品漏洞**** 1、 IBM Tivoli Application Dependency Discovery Manager HTTP头部注入漏洞 IBM Tivoli Application Dependency Discovery Manager(
继续阅读【漏洞通告】PostgreSQL JDBC SQL注入漏洞CVE-2024-1597
【漏洞通告】PostgreSQL JDBC SQL注入漏洞CVE-2024-1597 深瞳漏洞实验室 深信服千里目安全技术中心 2024-02-22 16:31 漏洞名称: PostgreSQL JDBC SQL注入漏洞(CVE-2024-1597) 组件名称: PostgreSQL JDBC Driver 影响范围: 42.7.0 ≤ PostgreSQL JDBC Driver < 42
继续阅读pgjdbc 存在SQL注入漏洞( CVE-2024-1597)
pgjdbc 存在SQL注入漏洞( CVE-2024-1597) 原创 信安路漫漫 信安路漫漫 2024-02-22 07:00 漏洞简介pgjdbc 是PostgreSQL的JDBC驱动程序。pgjdbc 受影响版本中配置为使用简单查询模式(preferQueryMode=SIMPLE,非默认情况)时存在SQL注入。当SQL占位符前存在负号(-)时,用户传入的参数值中负号会被错误解释为行注释,攻
继续阅读