标签: SQL注入

【安全圈】开源TensorFlow机器学习框架存在漏洞,黑客可借此发起供应链攻击

发布于 作者:

【安全圈】开源TensorFlow机器学习框架存在漏洞,黑客可借此发起供应链攻击 安全圈 2024-01-20 19:01 关键词 黑客攻击 在开源TensorFlow机器学习框架中发现的持续集成与持续交付(CI/CD)配置错误,可能被利用来发起供应链攻击。 TensorFlow 是谷歌的开发者创造的一款开源的深度学习框架,于 2015 年发布。TensorFlow 现已被公司、企业与创业公司广泛

继续阅读

[1day]泛微系统存在SQL注入漏洞

发布于 作者:

[1day]泛微系统存在SQL注入漏洞 CodeWarrior 晴天安全 2024-01-20 12:50 0x01 漏洞简述 — 泛微是一款全面的企业协同办公平台,提供了丰富的功能模块,包括流程管理、文档管理、协作办公、移动办公等。它可以帮助企业实现信息共享、团队协作和业务流程的数字化转型,提高工作效率和合作效能。泛微具有灵活的定制能力,可以根据企业的需求进行个性化配置和扩展,适用于各行各业的企

继续阅读

Opera 文件共享特性中存在RCE漏洞

发布于 作者:

Opera 文件共享特性中存在RCE漏洞 Ionut Arghire 代码卫士 2024-01-17 17:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Guardio Labs 发布报告指出,用于设备之间共享文件的 Opera 浏览器特性中存在一个漏洞,可导致 RCE 后果。 受影响的特性 My Flow 允许用户仅使用 Opera 的移动应用扫描一个 QR码就轻松在桌面和移动设备

继续阅读

漏洞公告 | Ivanti VPN远程代码执行漏洞

发布于 作者:

漏洞公告 | Ivanti VPN远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-01-17 17:25 01 漏洞概况**** Ivanti Connect Secure,原名Pulse Connect Secure,是一款企业级远程访问解决方案。这个产品主要提供安全远程访问(VPN),多因素认证等功能。 本次漏洞利用链包含两个漏洞,分别为身份验证绕过(CVE-2023-46

继续阅读

思科又曝高危漏洞,黑客利用可获取 root 权限

发布于 作者:

思科又曝高危漏洞,黑客利用可获取 root 权限 网络安全应急技术国家工程中心 2024-01-15 14:55 近日,思科修补了一个关键的 Unity Connection 安全漏洞,该漏洞可让未经认证的攻击者在未打补丁的设备上远程获得 root 权限。 Unity Connection 是一个完全虚拟化的消息和语音邮件解决方案,适用于电子邮件收件箱、Web 浏览器、Cisco Jabber、C

继续阅读

漏洞扫描VS渗透测试

发布于 作者:

漏洞扫描VS渗透测试 原创 铸盾安全 河南等级保护测评 2024-01-15 00:00 随着网络攻击变得越来越复杂 ,企业需要投资更强大的安全解决方案,例如漏洞评估  和渗透测试  ,以保护其数据、声誉和收入。 漏洞扫描可识别网络系统内的已知漏洞、安全控制的缺乏以及常见的错误配置。渗透测试模拟攻击以利用弱点,以证明网络安全的有效性。主要区别在于,漏洞扫描用于防御性和进攻性网络安全策略,而渗透测试

继续阅读

CVE-2023-7028 GitLab Account Takeover漏洞分析

发布于 作者:

CVE-2023-7028 GitLab Account Takeover漏洞分析 原创 chestnut 闲聊趣说 2024-01-14 10:45 前言 没学过ruby代码,其语法和C like语言差的很多,只能通过AI辅助分析,大概也看懂了,喜欢这个文章的话点个赞支持一下。 基本信息 Gitlab中可以通过重置密码接口发送恶意请求,当已知注册邮箱且开启邮箱登录时,攻击者可以获取到重置密码链接

继续阅读

Nacos漏洞综合利用GUI工具

发布于 作者:

Nacos漏洞综合利用GUI工具 黑白之道 2024-01-14 08:54 前言 本工具已经集成Nacos常见漏洞的检测及其利用,工具为GUI版本,简单好用。3.4版本优化了内存马注入处命令执行的代码,可单独检测是否存活,添加了批量扫描等。 工具使用说明(v3.4版本) 漏洞检测 漏洞检测支持非常规路径的检查,比如Nacos的路径为  http://xxx.xxx.xxx.xxx/home/na

继续阅读

[漏洞复现]CVE-2024-21645

发布于 作者:

[漏洞复现]CVE-2024-21645 原创 fgz AI与网安 2024-01-14 00:02 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 pyload日志注入漏洞 02 — 漏洞影响 pyload-ng < 0.5.0b3.dev

继续阅读

【安全圈】微软 SharePoint 被曝严重漏洞,黑客可远程执行任意命令

发布于 作者:

【安全圈】微软 SharePoint 被曝严重漏洞,黑客可远程执行任意命令 安全圈 2024-01-13 19:00 关键词 黑客攻击 美国网络安全和基础设施安全局(CISA)最近发布了一项警告,根据现有证据,黑客正利用微软SharePoint中的提权漏洞,与另一个被评定为“关键”级别的漏洞相结合,从而能够远程执行任意命令。 这一漏洞的标识号为CVE-2023-29357,它允许远程攻击者使用虚假

继续阅读

研究人员为Apache OFBiz漏洞CVE-2023-51467创建了一个POC

发布于 作者:

研究人员为Apache OFBiz漏洞CVE-2023-51467创建了一个POC 鹏鹏同学 黑猫安全 2024-01-13 11:04 网络安全公司VulnCheck的研究人员为最近披露的Apache OfBiz关键漏洞CVE-2023-51467创建了一个概念验证(PoC)的攻击代码。 去年12月,专家们警告称Apache OfBiz存在一个影响其身份验证的零日漏洞,该漏洞是一款开源企业资源规

继续阅读

网站漏洞挖掘思路

发布于 作者:

网站漏洞挖掘思路 点击关注→_→ 黑客白帽子 2024-01-08 06:00 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 本篇主要分享网站各漏洞思路,希望你看完有所收获。 一」登录框常见漏洞 常规漏洞 sql注入、万能密码 我们在用户名中输入 ‘or 1=1#,密码随意。 就变成了: select name.

继续阅读

【0 day】全程云OA SQL注入漏洞

发布于 作者:

【0 day】全程云OA SQL注入漏洞 原创 安全透视镜 网络安全透视镜 2024-01-07 19:51 一、漏洞描述 系统介绍 全程云OA为企业提供日常办公管理、公文管理、工作请示、汇报、档案、知识体系、预算控制等26个功能,超过100多个子模块。为企业内部提供高效、畅通的信息渠道,同时也能大力推动公司信息系统发展,提高企业的办公自动化程度和综合管理水平,加快企业信息的流通,提高企业市场竞争

继续阅读

美国国防部注入漏洞报告分析

发布于 作者:

美国国防部注入漏洞报告分析 原创 【白】 白安全组 2024-01-07 13:23 这里是一个比较有意思的注入漏洞,是一个搜索框的注入漏洞,也是我们平时测试中可能会忽略的一点。 这里可以看到,一个基本寻找测试点的流程,这里作者针对了一个输入框进行测试,下面是完整的数据包 POST /DSF/webservices/StorefrontService.asmx HTTP/1.1 Host: ███

继续阅读

JAVA代码审计-SQL注入漏洞一(配套视频)

发布于 作者:

JAVA代码审计-SQL注入漏洞一(配套视频) 原创 白给 白给信安 2024-01-07 10:52 JAVA代码审计-SQL注入漏洞(一) 欢迎参加我们的Java代码审计课程!本课程旨在培养学员深入了解和实践Java应用程序安全性的技能,通过系统学习和实际案例分析,使学员能够识别并纠正潜在的安全漏洞。 前期回顾 之前我们已经公开了以下课程: 1. JAVA代码审计-JAVA 开发环境搭建 JA

继续阅读

用友CRM存在日志信息泄露-附上POC

发布于 作者:

用友CRM存在日志信息泄露-附上POC 原创 漏洞挖掘 渗透安全HackTwo 2024-01-07 10:28 0x01 产品简介 CRM首先是一种管理理念,核心是将企业的客户作为企业最重要的资源,通过完善的客户服务和深入的客户分析来满足客户的需求,在向客户不断提供最大价值的同时,实现企业的价值,实现“双赢” 。 TIPS: 批量检测POC在末尾领取 今日星球新增1day/0day未公开漏洞-公

继续阅读

【0day】全^程^云*OA之未授权访问+SQL注入

发布于 作者:

【0day】全^程^云*OA之未授权访问+SQL注入 网络安全007 WIN哥学安全 2024-01-06 21:35 师傅们,我又来送漏洞福利了,最近在复现某云的一些漏洞,经过不断的挖掘,终于找到了漏洞所在之处…… 老样子,师傅们如果有用到该平台的漏洞,要记得及时找厂商进行修复以及做好防护策略,这样子就可以预防一下啦。 一、资产 zoomeye查询语法:"ima

继续阅读

全程云OA userIdList存在SQL注入漏洞

发布于 作者:

全程云OA userIdList存在SQL注入漏洞 小白菜安全 小白菜安全 2024-01-06 19:33 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围 漏洞复现

继续阅读

限时75折!系统0day安全-二进制漏洞攻防(第二季)

发布于 作者:

限时75折!系统0day安全-二进制漏洞攻防(第二季) 小雪 看雪学苑 2024-01-06 18:00 好消息!好消息! 系统0day安全-二进制漏洞攻防(第二季)火热开课啦! 想要深入了解二进制漏洞攻防的知识和实践经验吗?想要掌握模糊测试、AFL原**** 理、ASAN原理、网络协议漏洞挖掘、Linux内核漏洞挖掘、AOSP漏洞挖掘以及CodeQL代码审计等多个方面的技能吗? 预售期间享75折

继续阅读

实战之常规漏洞快速挖掘

发布于 作者:

实战之常规漏洞快速挖掘 原创 goddemon goddemon的小屋 2024-01-06 15:42 前言: 闲来有空,落个笔,本来是想每个漏洞都分开写专题的,凑文章数量。 但是想来想去,对于如果是常规的漏洞的话,其实挖来挖去核心逻辑其实都是那些东西,所以对相关的文章又进行了一个删除。 这里写一篇文章,当然也可以说是一篇关于笔者使用相关工具介绍的文章,捡过很多漏洞。 正文: 在笔者看来,其实针

继续阅读

U8cloud系统PrintTemplateFileServlet接口泄露敏感信息漏洞

发布于 作者:

U8cloud系统PrintTemplateFileServlet接口泄露敏感信息漏洞 皓月当空w 2024-01-06 10:55 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞早知道 漏洞名称:iU8cloud系统PrintTemplateFileServlet接口泄露敏感信息漏洞 漏洞出现时间:2024年1月5日 影响等级:中危 漏洞说明: 攻击者访问漏洞代码,就能够获取服务

继续阅读

网康应用安全网关(NS-ASG) SQL注入漏洞

发布于 作者:

网康应用安全网关(NS-ASG) SQL注入漏洞 原创 漏洞挖掘 渗透安全HackTwo 2024-01-06 10:53 0x01 产品简介 网康科技的NS-ASG应用安全网关是一款软硬件一体化的产品,集成了SSL和IPSec,旨在保障业务访问的安全性,适配所有移动终端,提供多种链路均衡和选择技术,支持多种认证方式灵活组合,以及内置短信认证、LDAP令牌、USB KEY等多达13种认证方式 。

继续阅读

漏洞预警 | DataX-Web命令注入漏洞

发布于 作者:

漏洞预警 | DataX-Web命令注入漏洞 浅安 浅安安全 2024-01-06 08:04 0x00 漏洞编号 – # CVE-2023-7116 0x01 危险等级 – 高危 0x02 漏洞概述 DataX Web是在DataX之上开发的分布式数据同步工具,提供简单易用的 操作界面,降低用户使用DataX的学习成本,缩短任务配置时间,避免配置过程中出错。 0x03 漏

继续阅读

禅道”多版本”通用前台RCE利用分析

发布于 作者:

禅道”多版本”通用前台RCE利用分析 j1ang 不秃头的安全 2024-01-06 08:02 禅道”多版本”通用前台RCE利用分析 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。 由于微信公众号推送机制改变了,快来 星标不再迷路,谢谢大家! 前面 禅道 15-18(具体影响到那个版本我也忘了)都是可以

继续阅读

严重的Ivanti EPM 漏洞可导致黑客劫持已注册设备

发布于 作者:

严重的Ivanti EPM 漏洞可导致黑客劫持已注册设备 Sergiu Gatlan 代码卫士 2024-01-05 17:28 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Ivanti 公司修复了位于端点管理软件 (EPM) 中的一个远程代码执行 (RCE) 漏洞,可导致未认证攻击者劫持已登记设备或核心服务器。 Ivanti EPM 有助于管理运行大量平台的客户端设备,如 Wi

继续阅读