Nuclei 漏洞允许恶意模板绕过签名验证
Nuclei 漏洞允许恶意模板绕过签名验证 胡金鱼 嘶吼专业版 2025-01-16 06:00 最新发现开源漏洞扫描器 Nuclei 中现已修复的漏洞可能允许攻击者绕过签名验证,同时将恶意代码潜入在本地系统上执行的模板中。 Nuclei 是 ProjectDiscovery 创建的一款流行的开源漏洞扫描程序,可扫描网站是否存在漏洞和其他弱点。该项目使用基于模板的扫描系统,该系统包含 10,000
继续阅读标签: SQL注入
Atropos:对Web应用程序服务器端漏洞的模糊测试技术
Atropos:对Web应用程序服务器端漏洞的模糊测试技术 原创 FuzzWiki FuzzWiki 2025-01-16 03:35 基本信息 原文名称: Atropos: Effective Fuzzing of Web Applications for Server-Side Vulnerabilities 原文作者:Emre Güler; Sergej Schumilo; Moritz
继续阅读哔哩哔哩网页端疑似曝出存储型XSS漏洞
哔哩哔哩网页端疑似曝出存储型XSS漏洞 夜组科技圈 2025-01-16 00:00 公众号现在只对常读和星标的才展示大图推送, 建议大家把 夜组科技圈 设为 星标 ,接收一手资讯! 漏洞描述 哔哩哔哩网页端疑似曝出存储型XSS漏洞。 目前攻击范围仅存在类魂游戏玩家之间,根据视频展示,攻击发生于视频加载后,可以猜测是加载网页的过程加载并执行了攻击脚本。由于代码直接注入了b站网页,因此攻击脚本自然也
继续阅读漏洞精讲之SQL注入
漏洞精讲之SQL注入 原创 Z1eaf 泷羽Sec-Z1eaf 2025-01-15 15:29 一.SQL 注入相关概念 1.什么是SQL 结构化查询语言,简称SQL(语法统一) SQL使我们有能力访问数据库 2.什么是SQL注入 攻击者通过在应用程序的输入中插入恶意SQL代码来执行未经授权的数据库操作。 3.SQL注入原理和简单绕过原理 SQL注入原理=在前端使用SQL语句传输到后端执行
继续阅读更新4节!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期)
更新4节!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期) 看雪课程 看雪学苑 2025-01-15 09:59 本周更新: 2.1 固件/镜像环境获取方法(1)https://www.kanxue.com/book-140-4936.htm 2.2 固件/镜像环境获取方法(2)https://www.kanxue.com/book-140-4947.htm 2.3 固件/镜像环境处理(1
继续阅读又一BeyondTrust漏洞遭黑客利用;Fortinet修复已被在野利用零日漏洞,可攻破FortiGate防火墙 | 牛览
又一BeyondTrust漏洞遭黑客利用;Fortinet修复已被在野利用零日漏洞,可攻破FortiGate防火墙 | 牛览 安全牛 2025-01-15 09:28 点击蓝字·关注我们 / aqniu 新闻速览 •英国拟禁止赎金支付,剑指勒索软件攻击 •又一BeyondTrust漏洞遭黑客利用 •OWASP发布十大”非人类身份安全风险”清单 •警惕网络犯罪新手法:伪造
继续阅读Jeecg存在JNDI代码执行漏洞
Jeecg存在JNDI代码执行漏洞 原创 Hacker 0xh4ck3r 2025-01-15 06:15 Jeecg存在JNDI代码执行漏洞 Jeecg (J2EE C ode G eneration)是一款基于代码生成器的低代码开发平台, 使用 JEECG 可以简单快速地开发出企业级的 Web 应用系统。目前官方已停 止维护。 JEECG 4.0 及之前版本中,由于 /api 接口鉴权时未过滤
继续阅读某公交管理系统简易逻辑漏洞+SQL注入挖掘
某公交管理系统简易逻辑漏洞+SQL注入挖掘 原创 zkaq-xhys 掌控安全EDU 2025-01-15 04:03 扫码领资料 获网安教程 本文由掌控安全学院 – xhys 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 某公交管理系统挖掘 SQL注入漏洞 前台通过给的账号密码,进去 按顺序依次点击1、2、3走一遍功能点,然后开
继续阅读杜特网上订单管理系统 getUserImage.ashx SQL注入漏洞
杜特网上订单管理系统 getUserImage.ashx SQL注入漏洞 Superhero nday POC 2025-01-15 02:18 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会
继续阅读腾讯云安全中心推出2024年12月必修安全漏洞清单
腾讯云安全中心推出2024年12月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-01-15 02:02 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风
继续阅读GiveWP 插件发现严重安全漏洞,影响超 100,000 活跃安装
GiveWP 插件发现严重安全漏洞,影响超 100,000 活跃安装 中泊研团队 中泊研安全应急响应中心 2025-01-15 02:01 近日,在 GiveWP 插件中发现了一个严重漏洞,该插件是 WordPress 使用最广泛的在线捐赠和筹款工具之一。该漏洞被跟踪为 CVE-2025-22777,CVSS 评分为9.8的严重级别 ,可能被攻击者利用以远程控制目标网站。这一事件牵涉到超过 100
继续阅读漏洞预警 | go-git参数注入漏洞
漏洞预警 | go-git参数注入漏洞 浅安 浅安安全 2025-01-15 00:00 0x00 漏洞编号 – # CVE-2025-21613 0x01 危险等级 – 高危 0x02 漏洞概述 go-git是一个用Go语言编写的高度可扩展的git实现库。 0x03 漏洞详情 CVE-2025-21613 漏洞类型: 参数注入 影响: 执行任意命令 简述: go-git中
继续阅读漏洞预警 | Aviatrix Controller命令注入漏洞
漏洞预警 | Aviatrix Controller命令注入漏洞 浅安 浅安安全 2025-01-15 00:00 0x00 漏洞编号 – # CVE-2024-50603 0x01 危险等级 – 高危 0x02 漏洞概述 Aviatrix Controller是一款强大的云网络管理平台,提供简化的跨云网络管理、自动化配置、安全策略、流量监控等功能,帮助企业实现更加灵活、安
继续阅读网络渗透“大杀器”:Cobalt Strike实操全揭秘
网络渗透“大杀器”:Cobalt Strike实操全揭秘 原创 sky 泷羽Sec-sky 2025-01-14 16:32 免责声明: 该文章所涉及到的安全工具和技术仅做分享和技术交流学习使用,使用时应当遵守国家法律,做一位合格的白帽专家。 使用本工具的用户需要自行承担任何风险和不确定因素,如有人利用工具做任何后果均由使用者承担,本人及文章作者还有泷羽sec团队不承担任何责任 如本文章侵权,请联
继续阅读攻防靶场(40):破壳漏洞利用 Sumo
攻防靶场(40):破壳漏洞利用 Sumo 原创 罗锦海 OneMoreThink 2025-01-14 16:01 欢迎提出宝贵建议 、欢迎分享 文章、欢迎关注 公众号 OneMoreThink 。 目录 侦查 1.1 收集目标网络信息:IP地址 1.2 主动扫描:扫描IP地址段 1.3 主动扫描:字典扫描 1.4 主动扫描:漏洞扫描 初始访问 2.1 利用面向公众的应用 权限提升 3.1 利用漏
继续阅读网站篡改入门,一个SQL注入漏洞就能让整个网站大变样,原理详解|!|从SQL注入到XSS攻击,完整还原黑客是如何篡改网站的
网站篡改入门,一个SQL注入漏洞就能让整个网站大变样,原理详解|!|从SQL注入到XSS攻击,完整还原黑客是如何篡改网站的 原创 VlangCN HW安全之路 2025-01-14 12:54 篡改网站(Deface Website)是渗透测试中常见的攻击手段之一,通过篡改目标网站的首页内容,可以起到警示、测试甚至恶意宣传的作用。本期文章,我将带大家从基础知识入手,深入解析如何实现网站篡改和利用X
继续阅读信息安全漏洞周报(2025年第2期)
信息安全漏洞周报(2025年第2期) 原创 CNNVD CNNVD安全动态 2025-01-14 11:28 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月6日至2025年1月12日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1045个。 接报漏洞情况 本周CNNVD接报漏洞10936个,其中信息技术产品漏洞(通用型漏洞)28
继续阅读严重的 Aviatrix Controller RCE 漏洞已遭利用
严重的 Aviatrix Controller RCE 漏洞已遭利用 Bill Toulas 代码卫士 2025-01-14 10:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者们正在利用Aviatrix Controller 实例中的一个严重的远程命令执行漏洞 (CVE-2024-50603),安装后门和密币挖矿机。 Aviatrix Controller 是 Aviat
继续阅读VulScanner:一款专业的红队漏洞检测工具
VulScanner:一款专业的红队漏洞检测工具 泷羽Sec-醉陌离 2025-01-14 10:00 VulScanner 一款适合在渗透测试中随时记录和保存的漏洞检测工具 项目地址:https://github.com/cn-xwhat/VulScanner 文末有详细配置教程 一、 主要模块 主要功能模块 任务管理 : 支持扫描任务、FOFA 采集、IP 段采集。 任务进度实时可视化,便于跟
继续阅读使用自动化工具寻找sql注入漏洞
使用自动化工具寻找sql注入漏洞 马哥网络安全 2025-01-14 09:00 对某开源cms进行代码审计 ,发现虽然该cms虽然对参数参数进行了过滤,但是过滤有限,依然可以通过其他方法绕过进行sql注入,本文将将通过正则匹配的方式,并通过自动化查找工具,寻找某cms中存在的sql注入漏洞 对某开源cms进行代码审计 ,发现虽然该cms虽然对参数参数进行了过滤,但是过滤有限,依然可以通过其他方法
继续阅读上周关注度较高的产品安全漏洞(20250106-20250112)
上周关注度较高的产品安全漏洞(20250106-20250112) 国家互联网应急中心CNCERT 2025-01-14 08:15 一、境外厂商产品漏洞 1、Fortinet FortiEDR访问控制错误漏洞(CNVD-2025-00410)**** Fortinet FortiEDR是美国飞塔(Fortinet)公司的一个从头开始构建的端点安全解决方案。Fortinet FortiEDR存在访
继续阅读无独有偶,通过.NET反序列化漏洞实现 Visual Studio 钓鱼攻击
无独有偶,通过.NET反序列化漏洞实现 Visual Studio 钓鱼攻击 原创 专攻.NET安全的 dotNet安全矩阵 2025-01-14 00:39 近期,网络安全从业人员间流传着一个引起广泛关注的事件:某提权工具被植入后门,导致工具使用者的身份信息和敏感数据遭到泄露。根据现有的信息,初步判断此次攻击背后可能是东南亚某APT组织——海莲花(Lotus Blossom)所为。 Visual
继续阅读GFI KerioControl 防火墙存在严重的RCE漏洞
GFI KerioControl 防火墙存在严重的RCE漏洞 THN 代码卫士 2025-01-13 10:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者们正在利用最近披露的 GFI KerioControl 防火墙中的一个漏洞 (CVE-2024-52875),如成功利用则可实现远程代码执行 (RCE)。 该漏洞是指回车换行(CRFL)攻击,可为HTTP响应截断攻击做铺垫
继续阅读每周网安资讯 (1.7-1.13)|Adobe多款产品存在越界读取漏洞
每周网安资讯 (1.7-1.13)|Adobe多款产品存在越界读取漏洞 交大捷普 2025-01-13 10:14 2024[ 每周网安资讯 ]1.7-1.13 网安资讯 1、我国牵头提出的国际标准《信息技术 信息安全事件管理 第4部分:协同》正式发布 近日,我国牵头提出的国际标准ISO/IEC 27035-4:2024《信息技术 信息安全事件管理 第4部分:协同》(Information tec
继续阅读雷神众测漏洞周报2025.1.6-2025.1.12
雷神众测漏洞周报2025.1.6-2025.1.12 原创 雷神众测 雷神众测 2025-01-13 09:12 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读2024年度智能网联汽车重点安全漏洞盘点
2024年度智能网联汽车重点安全漏洞盘点 原创 车联网安全实验室 山石网科安全技术研究院 2025-01-13 07:02 01 Telsa TMPS(胎压监测系统)远程命令执行漏洞 事件概述 在2024年Pwn2Own黑客大赛上,Synacktiv的网络安全研究人员David Berard和Thomas Imbert发现了特斯拉Model 3中的一个关键漏洞。该漏洞位于胎压监测系统(TPMS),
继续阅读DNA 测序仪漏洞标志着医疗器械行业固件存在问题
DNA 测序仪漏洞标志着医疗器械行业固件存在问题 原创 很近也很远 网络研究观 2025-01-13 06:36 Eclypsium 安全研究人员发现了 Illumina iSeq 100 DNA 测序仪中的 UEFI 漏洞,但更广泛的问题涉及整个设备开发过程。 在强调广泛使用的 DNA 基因测序设备中的漏洞时,安全研究人员进一步关注医疗设备行业可能存在的糟糕安全状况,该行业的硬件和固件开发通常根
继续阅读【赠书抽奖】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
【赠书抽奖】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! admin 白帽子飙车路 2025-01-13 05:35 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,H
继续阅读记一次某OA渗透测试有意思的文件上传漏洞挖掘经历以及分析
记一次某OA渗透测试有意思的文件上传漏洞挖掘经历以及分析 黑白之道 2025-01-13 01:59 原文首发在:先知社区 https://xz.aliyun.com/t/16959 登陆 我这边首先找到的是一个文件上传的登陆框 测试了一下sql注入之类的,发现没有 目录扫描 看到api爆出200 ok的那一刻我的心情是激动的,感觉要有很多接口泄露了 一堆ashx文件加上一个UEditor的组件,
继续阅读泛微-云桥e-Bridge addTasteJsonp SQL注入漏洞
泛微-云桥e-Bridge addTasteJsonp SQL注入漏洞 Superhero nday POC 2025-01-13 01:19 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读