黑客在 Pwn2Own Automotive 2025 第一天利用了 16 个0day漏洞 龙猫 星尘安全 2025-01-24 02:01 点击上方 蓝字 关注我们 在 Pwn2Own Automotive 2025 的第一天,安全研究人员利用了 16 个独特的零日漏洞,并获得了 382,750 美元的现金奖励。 Fuzzware.io 利用基于堆栈的缓冲区溢出和源站验证错误漏洞入侵了 Aute
继续阅读工具推荐 | Redis 漏洞综合利用工具 yuyan-sec 星落安全团队 2025-01-23 16:00 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 RedisEXP是一款golang编写的Redis漏洞利用工具。注意:主从复制会清空数据,主从复制会清空数据,主从复制会清空数据,请注意
继续阅读从靶场到实战–双一流高校多个高危漏洞 原创 大白 蚁景网络安全 2025-01-23 12:05 本文结合其它用户案例分析讲解挖掘某双一流站点的过程,包含日志泄露漏洞深入利用失败,到不弱的弱口令字典进入后台,再到最后偶遇一个貌似只在靶场遇到过的高危漏洞。 信息搜集: web站点的话从域名,ip等入手范围太大了,于是决定直接从小程序入手。 微信搜索学校名称,便直接可以通过公众号,小程序寻
继续阅读Pwn2Own 2025首日,16个零日漏洞和200万奖金 Zicheng FreeBuf 2025-01-23 11:01 1月22日, Pwn2Own Automotive 2025 在东京国际展览中心拉开帷幕,比赛首日就有16个零日漏洞被利用,多名参赛白帽黑客累计获得了超38万美元奖金。 Pwn2Own Automotive是主办方趋势科技专门针对汽车网络安全领域举办的安全竞赛,本届是自20
继续阅读信息安全漏洞周报【第007期】 零零捌信安观察 银天信息 2025-01-23 09:16 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读Confluence OGNL注入漏洞复现(CVE-2022-26134) 原创 Hacker 0xh4ck3r 2025-01-23 03:20 Confluence OGNL注入漏洞复现(CVE-2022-26134) 影响范围 Confluence Server&Data Center ≥ 1.3.0 Atlassian Confluence Server and Data Cent
继续阅读目前2025汽车Pwn2Own大会产生16个0day漏洞 独眼情报 2025-01-23 03:19 在东京大展览馆举办的2025汽车Pwn2Own大会今天开幕,展示了汽车网络安全研究的前沿技术。 首日,白帽黑客在车载信息娱乐系统(IVI)、电动车充电桩和操作系统中成功利用了16个此前未知的漏洞。大会向参与者颁发了高达382,750美元的奖金。 第一天的重要亮点 本次比赛呈现出成功、重复和失败并存
继续阅读喜讯 | 金盾检测入选为2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位 金盾检测股份 2025-01-23 02:09 2025年1月,工业和信息化部移动互联网APP产品安全漏洞专业库(以下简称CAPPVD漏洞库)根据《CAPPVD漏洞库支撑单位能力评定办法》,经过对各支撑单位在2024年度的支撑情况开展能力评定,最终确定34家单位入选为2025年度CAPPVD漏洞库支撑单位,
继续阅读Cloudflare CDN漏洞泄露用户位置数据,即使是通过安全聊天应用程序 SOC 赛欧思安全研究实验室 2025-01-23 02:05 Cloudflare CDN 漏洞泄露用户位置数据,即使是通过安全聊天应用程序 CVE-2025-23083:Node.js 漏洞暴露敏感数据和资源 黑客利用 MSI 包和 PNG 文件来传播多阶段恶意软件 思科警告:PoC 漏洞利用代码存在拒绝服务缺陷 P
继续阅读Burpsuite插件 | 快速探测可能存在SQL注入漏洞 saoshao 星落安全团队 2025-01-22 16:00 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 DetSql 是基于 BurpSuite Java 插件 API 开发的 SQL 注入探测插件,主要作用为快速从 http
继续阅读OWASP 2025年十大漏洞 铸盾安全 河南等级保护测评 2025-01-22 16:00 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键 漏洞 的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安全性的重要性从未如此明显。最新列表反
继续阅读【漏洞预警】pearProjectApi存在SQL注入漏洞 cexlife 飓风网络安全 2025-01-22 14:42 漏洞描述: pearProjectApi v2.8.10被发现通过project.php中的organizationCode 参数包含SQL注入漏洞。 修复方案: 升级到最新版本
继续阅读更新5节!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期) 看雪课程 看雪学苑 2025-01-22 09:59 本周更新: 2.5 固件分析基础 https://www.kanxue.com/book-140-4949.htm 2.6 镜像分区分析基础 https://www.kanxue.com/book-140-4950.htm 第三章 固件/镜像仿真与调试 3.1 固件仿真基础
继续阅读梅赛德斯—奔驰信息娱乐系统漏洞详细信息披露 信安在线资讯 2025-01-22 00:30 卡巴斯基披露了在梅赛德斯—奔驰信息娱乐系统中发现的十多个漏洞的细节,但这家汽车制造商向客户保证,这些安全漏洞已经得到修复,且不易被利用。 上周,俄罗斯网络安全公司卡巴斯基发布了一篇博客文章(梅赛德斯-奔驰主机安全研究报告),深入分析了梅赛德斯—奔驰用户体验(MBUX)系统。此次研究主要针对第一代MBUX系统
继续阅读OWASP 2025年十大漏洞–被利用/发现的最严重漏洞 何威风 祺印说信安 2025-01-22 00:03 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键 漏洞 的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安全性的重要性从未如
继续阅读漏洞预警 | 叁拾叁OA SQL注入漏洞 浅安 浅安安全 2025-01-22 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 叁拾叁OA是一款面向企业的办公自动化软件,主要目的是通过信息化手段提升企业的办公效率,帮助组织实现办公流程的自动化、信息的集成和共享,从而提升管理水平和工作效率。 0x03 漏洞详情 漏洞类型: SQ
继续阅读2024年度漏洞态势大揭秘:你的网络安全防线还稳固吗?(附下载) 原创 说安全 如何安全 说安全 如何安全 2025-01-21 23:30 在这个万物互联的数字时代,网络已经成为我们生活、工作和学习中不可或缺的一部分。然而,随着网络的普及和深入,网络安全问题也日益凸显,成为悬在我们头顶的一把“达摩克利斯之剑”。《2024年度漏洞态势分析报告》的出炉,再次为我们敲响了网络安全的警钟。那么,面对日益
继续阅读【安全圈】OWASP 2025 年十大漏洞 – 被利用/发现的最严重漏洞 安全圈 2025-01-21 19:01 关键词 安全漏洞 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键漏洞的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安
继续阅读OWASP 2025 年 10 大漏洞 网安百色 2025-01-21 11:29 点击上方 蓝字 关注我们吧~ OWASP于 2025 年 1 月 21 日发布了《2025 年十大安全漏洞》报告。随着去中心化金融(DeFi)和区块链技术的持续发展,确保智能合约安全的重要性愈发凸显。最新的列表反映了不断演变的攻击向量,突出了近年来被广泛利用或新发现的漏洞。 2025 年 OWASP 十大漏洞: 1
继续阅读【安全圈】梅赛德斯—奔驰信息娱乐系统漏洞详细信息披露 安全圈 2025-01-21 11:01 关键词 安全漏洞 卡巴斯基披露了在梅赛德斯—奔驰信息娱乐系统中发现的十多个漏洞的细节,但这家汽车制造商向客户保证,这些安全漏洞已经得到修复,且不易被利用。 上周,俄罗斯网络安全公司卡巴斯基发布了一篇博客文章(梅赛德斯-奔驰主机安全研究报告),深入分析了梅赛德斯—奔驰用户体验(MBUX)系统。此次研究主要
继续阅读报名中!即将开班 | 无人机安全攻防入门:从整体架构到漏洞分析 看雪课程 看雪学苑 2025-01-21 09:59 如今,无人机已经成为各行各业的重要工具,其应用场景日益广泛。例如从军事侦察到物流配送,从影视拍摄到农业监测。随着无人机技术的普及,其安全问题也逐渐凸显。例如无人机遭受黑客攻击、数据泄露、飞行失控等安全事件屡见不鲜,给个人隐私、企业资产乃至国家安全带来了严重威胁。 掌握无人机安全攻防
继续阅读奇安信2024《漏洞态势报告》:新增漏洞再创新高,总体威胁持续加深 虎符智库 2025-01-21 09:57 本文 2660 字 阅读约需 9 分钟 2025年1月21日,奇安信发布《2024年度网络安全漏洞威胁态势研究报告》(以下简称:《报告》)。《报告》指出,2024年全球新增漏洞数量再创新高,漏洞利用成为网络攻击的重中之重。开源项目、云计算、物联网(IoT)、国 产软件以及关键基础设
继续阅读《网信自主创新调研报告》表彰大会召开,360漏洞云获多项荣誉 360漏洞云 2025-01-21 08:49 1月18日,《网信自主创新调研报告》编委会在北京召开了2024年度表彰大会。来自编委会和报告参编单位的近30名代表参加了会议。会议对为《网信自主创新调研报告》编写和发布做出重要贡献的人员颁发了先进工作者证书,同时启动了“网信自主创新百人论坛”。360漏洞云总经理胡晓娜荣获生态领域先进工作者
继续阅读【漏洞通告】MongoDB Mongoose搜索注入漏洞(CVE-2025-23061) 原创 NS-CERT 绿盟科技CERT 2025-01-21 08:19 通告编号:NS-2025-0005 2025-01-21 TAG: MongoDB Mongoose、搜索注入、CVE-2025-23061 漏洞危害: 攻击者利用此漏洞,可实现代码注入。 版本: 1.0 1 漏洞概述 近日,绿盟科技
继续阅读灵当CRM getMyAmbassador SQL注入漏洞 Superhero nday POC 2025-01-21 06:49 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并
继续阅读商混ERP系统 SQL注入漏洞复现 孔方兄 巢安实验室 2025-01-21 06:30 一、漏洞介绍 杭州荷花软件有限公司开发的商混ERP系统。这套系统主要是处理建筑公司或者各项工程的搅拌站管理,内部含有销售模块、生产管理模块、实验室模块、人员管理等,该公司的商品混凝土ERP系统/Sys/DictionaryEdit.aspx处dict_key参数存在SQL报错注入漏洞,攻击者可通过该漏洞获取数
继续阅读【漏洞预警】MongoDB Mongoose未授权 代码注入漏洞CVE-2025-2306 cexlife 飓风网络安全 2025-01-21 05:40 漏洞描述: Mongoose库被发现存在严重漏洞,该漏洞源于对嵌套的$where过滤器处理不当,可能被攻击者利用来暴露敏感数据和操纵搜索结果,全网有超过140万个使用Mongoose httpd 服务器的应用可能受到此漏洞影响,建议受影响用户及
继续阅读2025年十大最佳漏洞管理工具 e安在线 e安在线 2025-01-21 05:01 在检测、分析,和修补Web以及网络应用程序中的漏洞方面,漏洞管理工具都发挥着重要的作用。 安全领域常用的术语包括漏洞、风险和威胁。漏洞是指系统中可能造成威胁的弱点,风险是指潜在的损害或损失,威胁是指利用漏洞造成的不利事件。发现这些弱点是保护公司资产和数据的关键。 漏洞管理工具的目标是识别问题。许多公司和安全研究人
继续阅读上周关注度较高的产品安全漏洞(20250113-20250119) 国家互联网应急中心CNCERT 2025-01-21 03:13 一、境外厂商产品漏洞 1、IBM Security Directory Integrator操作系统命令注入漏洞 IBM Security Directory Integrator是美国国际商业机器(IBM)公司的一个集成开发环境和运行时服务。IBM Securit
继续阅读