【漏洞预警】Jira Assets Discovery 组件存在注入漏洞CVE-2024-21682 cexlife 飓风网络安全 2024-02-21 22:24 漏洞描述: AssetsDiscovery组件是一个网络扫描工具,可与JiraService Management Cloud、Data Center或Server配合使用,检测连接到本地网络的硬件和软件,并提取每个资产的详细信息。A
继续阅读记一次违法网站的渗透经历-漏洞挖掘 漏洞挖掘 渗透安全HackTwo 2024-02-21 07:54 0x01 前言 在一次攻防演练信息收集过程中,发现该网站和给的资产网站是同一IP段于是有了此次违法站点的渗透 。 末尾可领取字典等资源文件 0x02 SQL漏洞发现到站点进行访问利用插件查看站点为php。常规扫目录前台一键登录之后在新增地址处发现存在注入0x03 进一步漏洞利用
继续阅读CVE-2024-20931|Oracle WebLogic Server JNDI注入漏洞 alicy 信安百科 2024-02-20 22:13 0x00 前言 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务
继续阅读CVE-2024-22234|Spring Security访问控制错误漏洞 alicy 信安百科 2024-02-20 22:13 0x00 前言 Spring是Java EE编程领域的一个轻量级开源框架。 Spring 框架的核心特性是可以用于开发任何 Java 应用程序,但是在 Java EE 平台上构建 web 应用程序是需要扩展的。 Spring 框架的目标是使 J2EE 开发变得更容
继续阅读【漏洞预警】pgjdbc 存在SQL注入漏洞CVE-2024-1597 cexlife 飓风网络安全 2024-02-20 21:25 漏洞描述:pgjdbc是PostgreSQL的JDBC驱动程序,pgjdbc 受影响版本中配置为使用简单查询模式(preferQueryMode=SIMPLE,非默认情况)时存在SQL注入,当SQL占位符前存在负号(-)时,用户传入的参数值中负号会被错误解释为行注
继续阅读信息安全漏洞周报(2024年第7期) CNNVD CNNVD安全动态 2024-02-20 20:10 点击蓝字 关注我们 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年2月5日至2024年2月11日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞312个。 接报漏洞情况 本周CNNVD接报漏洞4053个,其中信息技术产品漏洞(通用型漏洞)20个,网络信息系统漏洞(事件型
继续阅读java代码审计之SQL注入漏洞 原创 goddemon goddemon的小屋 2024-02-19 00:00 Part1 前言: 开更文章了,开一个关于Java代码审计相关的系列。 本来是想写成一本书的模式的,但是越写越发觉,篇幅太多,想了下还是每个专题单独写,而后最后汇总到一起。 慢慢写,基于笔者的理解抒写,如有问题,忘斧正。 关于这个系列不会可能有些不会写修复方案,也不会写得特别细,这类
继续阅读漏洞挖掘|日常挖洞之渗透失败经历 迪哥讲事 2024-02-18 22:16 0x01 前言叙述 此次挖洞经历熟悉的配方,但是每次都是到最后一步就渗透上去了,特别难受,简单捡了几个中高危漏洞,厂商来自某IDC服务商及汽车经销,后续漏洞已提交 先查一下SEO,免得官方不收(起码也学到东西了) *本文涉及到相关漏洞已报送厂商并修复,本文仅限技术讨论和研究,严禁用于非法用途,否则产生后果自行承担** 0
继续阅读漏洞复现-WordPress HTML5 Video Player SQL注入漏洞(CVE-2024-1061)附POC Yi安全 2024-02-18 20:02 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感
继续阅读13000多个Ivanti网关因严重漏洞遭受网络攻击 网安百色 2024-02-18 19:30 近日,数千个Ivanti Connect Secure和Policy Secure端点受到多个安全问题的攻击,这些问题在一个多月前首次披露,并由供应商逐步修复。具体漏洞为CVE-2024-22024、CVE-2023-46805、CVE-2024-21887、CVE-2024-21893和CVE-20
继续阅读13000 多个 Ivanti 终端易受安全漏洞的影响 疯狂冰淇淋 FreeBuf 2024-02-18 18:56 Bleepingcomputer网站消息,数千个Ivanti Connect Secure和Policy Secure终端仍然易受到一个多月前首次披露的多个安全漏洞的影响。目前,这些漏洞已由供应商逐步修复。 影响终端的漏洞包括CVE-2024-22024、CVE-2023-4680
继续阅读SolarWinds 曝出五个严重的 RCE 漏洞 小王斯基 FreeBuf 2024-02-18 18:56 左右滑动查看更多 SolarWinds 近期修补了 Access Rights Manager (ARM) 解决方案中的五个远程代码执行 (RCE) 漏洞,其中包括三个允许未经验证利用的严重安全漏洞! 漏洞详情 CVE-2024-23476 和 CVE-2024-23479 安全漏洞由于
继续阅读今日更新:命令/代码执行(一)原理和基础知识—CTF训练营之Web篇 看雪课程 看雪学苑 2024-02-18 17:59 今日更新 欢迎来到 《CTF训练营-Web篇》 ! 随着互联网的普及与发展,网络安全也越发成为人们关注的焦点。 而在网络安全中,Web安全无疑是其中的一个重点领域。 该课程以CTF比赛中的Web安全为核心,包含了丰富的Web安全攻击和防御知识,帮助学员了解常见的网络攻击方式并
继续阅读宝塔WAF 0day漏洞,可直接获取Root权限 爱的主打歌 刨洞安全团队 2024-02-17 17:05 最近开源社区好像特别流行 WAF,到处都能看到宝塔云 WAF、雷池 WAF 社区版、南墙 WAF 的各种宣传。 我也是宝塔面板的四五年的老用户了,几个月前看到宝塔出了独立的 WAF 就迅速给我的小站上了一套,结果没几天发现服务器被人放了挖矿木马。 这段时间除了安装 WAF,服务器我基本没动
继续阅读【漏洞速递】宝塔最新未授权访问漏洞及sql注入 Palvef WIN哥学安全 2024-02-17 16:08 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 宝塔最新未授权访问漏洞及sql注入 未授权访问 整个宝塔 WAF 核心防护功能的
继续阅读宝塔最新未授权访问漏洞及SQL注入 Palvef SecHub网络安全社区 2024-02-17 14:49 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。 文
继续阅读CVE-2024-0918 原创 fgz AI与网安 2024-02-17 09:33 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 福利:小编整理了往期POC以及大量电子书和护网常用工具,在文末免费获取。 01 — 漏洞名称 TRENDnet TEW-800MB
继续阅读15000+POC漏洞扫描工具 hktalent 黑客白帽子 2024-02-17 07:00 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 特性 Vulnerabilities Scan;15000+PoC漏洞扫描;[ 23 ] 种应用弱口令爆破;7000+Web指纹;146种协议90000+规则Port扫描;
继续阅读【漏洞预警】Oracle WebLogic Server 存在JNDI注入漏洞CVE-2024-20931 cexlife 飓风网络安全 2024-02-16 22:29 漏洞描述:Oracle WebLogic Server是一个用于构建、部署和管理企业级Java应用程序。 AQjmsInitialContextFactory 是一个允许应用程序使用JNDI查找方式访问Oracle AQ提供消息
继续阅读微软捕获APT组织使用大语言模型(LLM)进行漏洞研究和恶意软件脚本编写的证据 军哥网络安全读报 2024-02-15 21:00 导读 微软威 胁情报团队捕获外国政府背景的黑客组织使用 OpenAI 的 ChatGPT 交互的证据,攻击者以自动执行恶意漏洞研究、目标侦察和恶意软件创建任务。 在微软周三发布的一份研究报告( https://www.microsoft.com/en-us/secur
继续阅读微软2024年2月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2024-02-14 10:55 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年2月补丁日多个产品安全漏洞 影响产品 SQL Server、Microsoft Office、Windows Server 等。 公开时间 2024-02-14 影响量级 千万级 奇安信评级 高危 利用可能性 高 P
继续阅读CVE-2023-38902的详细研究 ZIKH26 看雪学苑 2024-02-13 18:00 这是我收获的第一个CVE编号,在复现了winmt师傅的CVE-2023-34644后,他告诉我最新的固件虽然做了一些简单的处理,导致无法在未授权的情况下RCE,但因为没有从根源上对命令执行点做限制,所以在授权后,仍然可以进行RCE。我对最新的固件进行了分析,完整记录了授权后的RCE漏洞从分析到利用的过
继续阅读CVE-2023-4450 原创 fgz AI与网安 2024-02-13 12:20 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 该漏洞已被黑客武器化,用于大规模蠕虫传播、勒索挖矿。但nuclei官方还没有提供POC。 01 — 漏洞名称 Jeecg-Boot
继续阅读利用Android WebView漏洞 Max_hhg译 乌雲安全 2024-02-13 08:01 什么是WebView? WebView类是Android的View类的扩展,允许您将网页显示为活动布局的一部分。它不包含完整开发的Web浏览器的任何功能,如导航控件或地址栏。默认情况下,WebView只是显示一个网页。 Twitter使用WebView加载网站。 为了进行测试,我们将使用易受攻击的
继续阅读[漏洞复现]CVE-2023-22527 原创 fgz AI与网安 2024-02-11 07:44 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Atlassian Confluence 模板注入代码执行漏洞 02 — 漏洞影响 影响范围 At
继续阅读【安全圈】Shim发布安全补丁,以解决六个安全漏洞 安全圈 2024-02-08 19:00 关键词 安全补丁 shim 的维护者发布了 15.8 版,以解决六个安全漏洞,包括一个可能为特定情况下的远程代码执行铺平道路的关键错误。 该漏洞被跟踪为 CVE-2023-40547(CVSS 评分:9.8),可被利用来实现安全启动绕过。Microsoft安全响应中心(MSRC)的Bill Demirka
继续阅读【安全圈】已修复!佳能的最新软件更新能修复部分机型的七个严重漏洞 安全圈 2024-02-08 19:00 关键词 软件更新 日本电子产品制造商佳能周一宣布了软件更新,修复了影响几种小型办公打印机型号的七个严重漏洞。 这些被描述为缓冲区溢出错误的问题可以通过网络进行远程代码执行 (RCE) 或导致易受攻击的产品变得无响应。 “这些漏洞表明,如果产品不使用路由器(有线或 Wi-Fi)直接连接到互联网
继续阅读Spring综合漏洞的利用工具 — SpringExploitGUI(2月6日更新) charonlight Web安全工具库 2024-02-08 15:16 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责
继续阅读【已复现】Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)安全风险通告 原创 QAX CERT 奇安信 CERT 2024-02-06 15:37 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle WebLogic Server JNDI注入漏洞 漏洞编号 QVD-2024-2987,CVE-2024-20931 公开时
继续阅读上周关注度较高的产品安全漏洞(20240129-20240204) 国家互联网应急中心CNCERT 2024-02-06 09:55 一、境外厂商产品漏洞 1、Google Chrome数字错误漏洞(CNVD-2024-06231) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 120.0.6099.216之前版本存在数字错误漏洞,该漏洞源
继续阅读