【漏洞通告】Apache OFBiz 远程代码执行漏洞
【漏洞通告】Apache OFBiz 远程代码执行漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-01-03 18:02 01 漏洞概况 Apache OFBiz 存在代码注入漏洞,攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行代码。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Apache OFBiz 远程代码执行漏洞漏洞编号CVE编号CVE-2023-51467
继续阅读标签: SQL注入
Terrapin安全漏洞影响SSH的安全性
Terrapin安全漏洞影响SSH的安全性 网络安全应急技术国家工程中心 2024-01-03 15:37 SSH是提供网络服务的安全访问的互联网标准,主要用于远程终端登录和文件传输,应用于超过1.5亿服务器。来自德国波鸿鲁尔大学的安全研究人员在SSH协议中发现了一个安全漏洞——Terrapin,攻击者利用该漏洞可以打破SSH协议安全通道的完整性以影响SSH的安全性。 Terrapin攻击概述 T
继续阅读上周关注度较高的产品安全漏洞(20231225-20231231)
上周关注度较高的产品安全漏洞(20231225-20231231) 国家互联网应急中心CNCERT 2024-01-03 14:40 一、境外厂商产品漏洞 1、SAP PowerDesigner输入验证错误漏洞 SAP PowerDesigner是德国思爱普(SAP)公司的一款数据库设计软件。SAP PowerDesigner 16.7版本存在输入验证错误漏洞,该漏洞源于无法充分验证从不受信任的来
继续阅读成果分享|Java反序列化漏洞自动化挖掘和可利用性验证
成果分享|Java反序列化漏洞自动化挖掘和可利用性验证 原创 陈波妃、张磊 复旦白泽战队 2023-12-31 16:23 元 喜迎2024 旦 复旦大学系统软件与安全实验室在开源代码治理方面取得新进展。本团队为 Java 反序列化漏洞的挖掘和利用上提供了一套高效的端到端的新方案和工具,在各云平台常用的 Apache Dubbo , Motan , Solon 等流行 Java 开源云组件上挖掘出
继续阅读【漏洞复现】CVE-2023-49070
【漏洞复现】CVE-2023-49070 原创 fgz AI与网安 2023-12-31 06:45 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 福利:小编整理了大量电子书和护网常用工具,在文末免费获取。 01 — 漏洞名称 Apache-OFBiz xmlrp
继续阅读漏洞预警 | 四创科技有限公司综合管理系统SQL注入漏洞
漏洞预警 | 四创科技有限公司综合管理系统SQL注入漏洞 浅安 浅安安全 2023-12-30 08:00 0x00 漏洞编号 – # CNVD-2023-97900 0x01 危险等级 – 高危 0x02 漏洞概述 四创科技有限公司是一家经营范围包括电子计算机软硬件技术与产品的研发、生产、销售等的公司。 0x03 漏洞详情 CNVD-2023-97900 漏洞类型: SQ
继续阅读二进制漏洞分析-29.Huawei TrustZone HuaweiNfcActiveCard 漏洞
二进制漏洞分析-29.Huawei TrustZone HuaweiNfcActiveCard 漏洞 原创 haidragon 安全狗的自我修养 2023-12-27 07:54 二进制漏洞分析-1.华为Security Hypervisor漏洞 二进制漏洞分析-2.揭示华为安全管理程序(上) 二进制漏洞分析-3.揭示华为安全管理程序(下) 二进制漏洞分析-4.华为安全监控漏洞(SMC SE 工厂
继续阅读用友NC Cloud soapFormat.ajax接口存在XXE 附POC软件
用友NC Cloud soapFormat.ajax接口存在XXE 附POC软件 原创 南风徐来 南风漏洞复现文库 2023-12-26 23:00 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 大家关注一下我的另外一个公众号,这个公众号也
继续阅读【工具发布】2023年100个勒索风险漏洞检测工具
【工具发布】2023年100个勒索风险漏洞检测工具 长亭安全应急响应中心 2023-12-26 19:22 近期,长亭安全应急响应中心发布了453个勒索风险漏洞列表。为了帮助大家更好的排查勒索风险漏洞,牧云产线现推出本地检测工具,支持一键检测以下100个高危漏洞(详见附录)。 检测方法 Delection Methods 01 在本地主机上执行以下命令即可扫描: ./chaitin_ranso
继续阅读【漏洞预警】OpenSSH ProxyCommand命令注入漏洞CVE-2023-51385
【漏洞预警】OpenSSH ProxyCommand命令注入漏洞CVE-2023-51385 cexlife 飓风网络安全 2023-12-26 19:12 漏洞描述:OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协议族可以用来进行远程控制,或在计算机之间传送文件,近日监测到OpenSSH发布安全更新,其中修复了一个命令注入漏洞,在9.6版本之前的OpenSS
继续阅读早鸟价限时75折!系统0day安全-二进制漏洞攻防(第二季)火热开课啦
早鸟价限时75折!系统0day安全-二进制漏洞攻防(第二季)火热开课啦 小雪 看雪学苑 2023-12-26 17:59 好消息!好消息! 系统0day安全-二进制漏洞攻防(第二季)火热开课啦! 想要深入了解二进制漏洞攻防的知识和实践经验吗?想要掌握模糊测试、AFL原**** 理、ASAN原理、网络协议漏洞挖掘、Linux内核漏洞挖掘、AOSP漏洞挖掘以及CodeQL代码审计等多个方面的技能吗?
继续阅读【漏洞通告】OpenSSH命令注入漏洞CVE-2023-51385
【漏洞通告】OpenSSH命令注入漏洞CVE-2023-51385 深瞳漏洞实验室 深信服千里目安全技术中心 2023-12-26 16:20 漏洞名称: OpenSSH命令注入漏洞(CVE-2023-51385) 组件名称: OpenSSH 影响范围: OpenSSH < 9.6 漏洞类型: 命令注入 利用条件: 1、用户认证:是 2、前置条件:默认配置 3、触发方式:远程 综合评价: &
继续阅读漏洞通告 | OpenSSH ProxyCommand命令执行漏洞
漏洞通告 | OpenSSH ProxyCommand命令执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-12-26 15:37 01 漏洞概况**** OpenSSH是SSH协议的开源实现,支持对所有的传输进行加密, 广泛应用于远程管理系统和安全文件传输。ProxyCommand是一个OpenSSH客户端中被广泛使用的功能,它允许指定自定义命令来代理 SSH 连接。微步漏洞团队于近日
继续阅读上周关注度较高的产品安全漏洞(20231218-20231224)
上周关注度较高的产品安全漏洞(20231218-20231224) 国家互联网应急中心CNCERT 2023-12-26 14:46 一、境外厂商产品漏洞 1、Fortinet FortiADC缓冲区溢出漏洞 Fortinet FortiADC是美国飞塔(Fortinet)公司的一款应用交付控制器。Fortinet FortiADC存在缓冲区溢出漏洞,该漏洞源于应用在处理不受信任的输入时出现边界错
继续阅读【已复现】金蝶Apusic应用服务器JNDI注入致远程代码执行漏洞
【已复现】金蝶Apusic应用服务器JNDI注入致远程代码执行漏洞 长亭安全应急响应中心 2023-12-20 20:14 金蝶Apusic应用服务器是一款企业级应用服务器,支持Java EE技术,适用于各种商业环境。 2023年12月,互联网上披露金蝶Apusic应用服务器存在JNDI注入漏洞,攻击者可利用该漏洞获取服务器控制权限。该漏洞利用 简单,建议受影响 的客户尽快修复漏洞。 漏洞描述 D
继续阅读【漏洞预警】Zabbix代码执行漏洞CVE-2023-32727
【漏洞预警】Zabbix代码执行漏洞CVE-2023-32727 cexlife 飓风网络安全 2023-12-19 21:42 漏洞简述:Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等,近日监测到Zabbix中修复了一个icmpping()代码执行漏洞(CVE-2023-32727),其CVSS评分为6.8。有权配置
继续阅读上周关注度较高的产品安全漏洞(20231211-20231217)
上周关注度较高的产品安全漏洞(20231211-20231217) 国家互联网应急中心CNCERT 2023-12-19 15:40 一、境外厂商产品漏洞 1、 Linux kernel nft_dynset_init函数拒绝服务漏洞 Linux kernel 是美国 Linux 基金会的开源操作系统 Linux 所使用的内核。 Linux kernel 存在拒绝服务漏洞,该漏洞源于函数 nft_
继续阅读【Web渗透】暴力破解漏洞
【Web渗透】暴力破解漏洞 Whoami 晨曦安全团队 2023-12-18 23:59 “暴力破解 ”是一种攻击手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具进行自动化操作。理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间
继续阅读[CTF复现计划]2023强网杯初赛 thinkshop[ping]
[CTF复现计划]2023强网杯初赛 thinkshop[ping] Dest0g3 Team 2023-12-18 18:47 前言 “大头SEC”公众号专注于CTF、AWD、AWD Plus、RDG等竞赛题目复现。 在“大头SEC”公众号正式开始运营以前,“CTF复现计划”已经运营了一段时间,“CTF复现计划”旨在解决各位CTFer在赛后因平台关闭导致无法复现的问题。截止10月18日,“CTF
继续阅读速修复!开源防火墙软件pfSense 中存在多个漏洞
速修复!开源防火墙软件pfSense 中存在多个漏洞 THN 代码卫士 2023-12-18 18:18 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 开源的 Netgate pfSense 防火墙解决方案 pfSense 中存在多个漏洞,可被攻击者用于在可疑设备上执行任意命令。 这些问题和两个反射型XSS漏洞有关,其中一个是命令注入漏洞。安全研究员 Zeino-Mahmalat
继续阅读CVE-2023-25157:GeoServer OGC Filter SQL注入漏洞
CVE-2023-25157:GeoServer OGC Filter SQL注入漏洞 原创 lyc Timeline Sec 2023-12-18 18:10 关注我们❤️,添加星标🌟,一起学安全!作者:lyc@Timeline Sec 本文字数:1296 阅读时长:2~4min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 GeoServer是OpenGIS Web
继续阅读CVE-2023-6063分析|WordPress WP Fastest Cache 插件导致的SQL注入
CVE-2023-6063分析|WordPress WP Fastest Cache 插件导致的SQL注入 船山信安 2023-12-18 00:01 漏洞环境 ● wordpress 版本无限制● WP Fastest Cache 插件 <1.2.2,这里使用1.2.1版本启用 WP Fastest Cache 插件,并启用“缓存系统” 漏洞点cache.php 。调用在漏洞分析部分分析
继续阅读二进制漏洞分析-25.华为TrustZone TA_SignTool OOB Read
二进制漏洞分析-25.华为TrustZone TA_SignTool OOB Read 原创 haidragon 安全狗的自我修养 2023-12-17 21:04 二进制漏洞分析-1.华为Security Hypervisor漏洞 二进制漏洞分析-2.揭示华为安全管理程序(上) 二进制漏洞分析-3.揭示华为安全管理程序(下) 二进制漏洞分析-4.华为安全监控漏洞(SMC SE 工厂检查 OOB
继续阅读【安全圈】QNAP VioStor NVR 漏洞被恶意软件利用
【安全圈】QNAP VioStor NVR 漏洞被恶意软件利用 安全圈 2023-12-17 19:01 关键词 恶意软件 一个名为 “InfectedSlurs” 的基于 Mirai 的僵尸网络正在利用 QNAP VioStor NVR (网络录像机)设备中的远程代码执行 (RCE) 漏洞来劫持并使它们成为其 DDoS (分布式拒绝服务)群的一部分。 该僵尸网络由 Akamai 的安全情报响应团
继续阅读Android App半自动化静态漏洞挖掘技术分析
Android App半自动化静态漏洞挖掘技术分析 ADLab 白帽子左一 2023-12-17 12:00 扫码领资料 获网安教程 免费&进群 一、前言 在Android应用层安全研究领域,研究人员大多采用人工审计加脚本的方式进行漏洞挖掘。针对某个新的攻击面,对手机厂商上千款的预置App开展批量的漏洞挖掘时,短时间内很难产出结果,漏洞挖掘效率低。 在2021年7月上旬,启明星辰ADLab
继续阅读Logbase思迪福堡垒机漏洞分析
Logbase思迪福堡垒机漏洞分析 WK安全 2023-12-17 09:52 赛 博大作战中的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。 利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 本文所提供的工具仅用于学习,禁止用于其他! ! ! 1
继续阅读【1day】万户OA check_onlyfield.jsp sql注入漏洞
【1day】万户OA check_onlyfield.jsp sql注入漏洞 原创 十二 十二主神 2023-12-17 09:30 重要通知 师傅们,动动小手指,设个星标,灰常感谢 漏洞描述 万户OA check_onlyfield.jsp sql注入漏洞,攻击者可通过此漏洞获取敏感信息。 资产测绘 Fofa:app="万户网络-ezOFFICE" 漏洞POC POC1 /d
继续阅读【安全圈】戴尔紧急通报PowerProtect产品中的多个高风险漏洞
【安全圈】戴尔紧急通报PowerProtect产品中的多个高风险漏洞 安全圈 2023-12-16 19:01 关键词 安全漏洞 戴尔正向使用PowerProtect DD产品的客户发出警告,通报了该产品中发现的8个安全漏洞,其中多个漏洞被评定为高严重性级别,并强烈建议客户安装补丁。 这些漏洞影响PowerProtect Data Domain (DD) 系列设备,以及APEX Protect S
继续阅读实战 | 记一次金融项目的高危漏洞挖掘
实战 | 记一次金融项目的高危漏洞挖掘 F12sec 2023-12-16 10:48 申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!公众号现在只对常读和星标的公众号才展示大图推送,建议大家把 明暗安全 设为星标,否则可能就看不到啦!**** 1.漏洞背景 在我的最新项目中,我针对金融领域的一个复杂系统进行了深入探索。我的目标是识别潜在的安全弱点,为此,我采用了子域名模糊
继续阅读小白快速上手 SRC漏洞挖掘科普攻略!
小白快速上手 SRC漏洞挖掘科普攻略! 原创 白猫不黑 网络安全自修室 2023-12-16 09:27 点击上方 蓝字关注我们 1 免责声明 本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究, 谨 遵守国家相关法律法规,请勿用于违法用途, 如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。 2 内容速览
继续阅读