CVE-2024-53908|Django Oracle SQL注入漏洞
CVE-2024-53908|Django Oracle SQL注入漏洞 alicy 信安百科 2024-12-07 11:00 0x00 前言 Django是一个高级的Python Web框架,可以快速开发安全和可维护的网站。由经验丰富的开发者构建,Django负责处理网站开发中麻烦的部分,可以专注于编写应用程序,而无需重新开发。它是免费和开源的,有活跃繁荣的社区,丰富的文档,以及很多免费和付费
继续阅读标签: SQL注入
记一次简单的代码审计项目案例
记一次简单的代码审计项目案例 繁星01 安全君呀 2024-12-07 04:07 将 安全君呀 设为”星标 ⭐ ️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容部分选取网络,如有侵权,请告知删除。 前言 代码审计,最重要的就是
继续阅读漏洞分析 | 挖掘 .NET SqlSugar 框架SQL注入
漏洞分析 | 挖掘 .NET SqlSugar 框架SQL注入 原创 专攻.NET安全的 dotNet安全矩阵 2024-12-07 01:10 01 阅读须知 此文所节选自国内最专业的 [ .NET 代码审计 ] 体系化学习社区,主要 内容有 涉及 .NET代码审计体系化星球包括但不限于OWASP十大漏洞类型,涉及SQL注入漏洞、文件上传下载漏洞、任意文件操作漏洞、XML外部实体注入漏洞、跨站脚
继续阅读漏洞预警 | 九思OA SQL注入漏洞
漏洞预警 | 九思OA SQL注入漏洞 浅安 浅安安全 2024-12-07 00:30 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 九思OA办公自动化系统平台基于开发JAVA语言开发,封装了大量接口、构件,以多维门户形式展现,OA系统支持各种部署模式、各种操作系统、各种数据库和中间件,并具备完备的配置体系、接口体系和插件体系,支持未
继续阅读漏洞预警 | 昂捷ERP SQL注入漏洞
漏洞预警 | 昂捷ERP SQL注入漏洞 浅安 浅安安全 2024-12-07 00:30 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 昂捷信息,以软件开发为核心,聚焦于零售行业数字化赋能,为超市、便利店、百货、购物中心、专营专卖等各零售业态提供全面的数字化解决方案和咨询服务,是业界领先的全链路数字化解决方案服务商。 0x03 漏洞详
继续阅读2024年最危险的25个软件漏洞
2024年最危险的25个软件漏洞 祺印说信安 2024-12-06 23:14 MITRE 发布了 2024 年 25 大最危险软件漏洞年度列表,重点介绍了对全球软件系统构成重大风险的严重漏洞。 该列表是与网络安全和基础设施安全局 (CISA) 合作开发的,对于旨在加强网络安全防御的开发人员、安全专业人员和组织来说是一项重要资源。 2024 年 CWE Top 25 列表确定了与超过 31,770
继续阅读Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (下)
Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (下) 原创 Heihu577 Heihu Share 2024-12-06 12:25 前言 本篇文章是 《Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (上)》的后续部分, 由于篇幅问题, 故分为两部分, 请大家衔接阅读… 《Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (上)
继续阅读「漏洞复现」易宝OA GetUDEFStreamID SQL注入漏洞
「漏洞复现」易宝OA GetUDEFStreamID SQL注入漏洞 冷漠安全 冷漠安全 2024-12-06 11:52 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需
继续阅读CVE-2024-42327 Zabbix SQL注入 POC
CVE-2024-42327 Zabbix SQL注入 POC 原创 Khan安全团队 Khan安全攻防实验室 2024-12-06 11:50 Z abbix 前端上具有默认用户角色或任何其他授予 API 访问权限的角色的非管理员用户帐户均可利用此漏洞。 addRelatedObjects 函数中的 CUser 类中存在 SQLi,此函数由 CUser.get 函数调用,每个具有 API 访问权
继续阅读【安全圈】I-O Data路由器0Day漏洞被利用,无修复补丁
【安全圈】I-O Data路由器0Day漏洞被利用,无修复补丁 安全圈 2024-12-06 11:00 关键词 安全漏洞 日本计算机紧急响应小组(CERT)警告称 ,黑客正在利用I-O Data路由器设备中的零日漏洞来修改设备设置、执行命令,甚至关闭防火墙。 I-O Data在其网站上发布的安全公告中承认确实存在三个零日漏洞,但目前暂无完整的修复补丁,预计将在2024年12月18日发布,因此在此
继续阅读用友NC-Cloud process SQL注入漏洞复现及POC
用友NC-Cloud process SQL注入漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-12-06 10:25 FOFA body="/Client/Uclient/UClient.exe" || body="nccloud" || app="用友-NC-Cloud" 漏洞复现 POC GET /
继续阅读渗透测试高级技巧(三):被前端加密后的漏洞测试
渗透测试高级技巧(三):被前端加密后的漏洞测试 格格巫和蓝精灵 2024-12-06 10:05 前文指路 渗透测试高级技巧(一):分析验签与前端加密 渗透测试高级技巧(二):对抗前端动态密钥与非对称加密防护 我们考虑以下登陆场景,在这个场景中,用户界面和服务器之间通信使用浏览器 JS 加密,前后都用 AES ECB 加密。 这个时序图展示了整个加密登录流程: 1. 用户界面到 JS 层: 用户在
继续阅读zabbix SQL注入漏洞(CVE-2024-42327)
zabbix SQL注入漏洞(CVE-2024-42327) 原创 菜鸟学渗透 菜鸟学渗透 2024-12-06 03:59 一、漏洞描述 Zabbix 前端上具有默认用户角色或任何其他授予 API 访问权限的角色的非管理员用户账户均可利用此漏洞。addRelatedObjects 函数中的 CUser 类中存在 SQLi,此函数由 CUser.get 函数调用,每个具有 API 访问权限的用户均
继续阅读渗透测试人员的 Nmap:漏洞扫描
渗透测试人员的 Nmap:漏洞扫描 三沐 三沐数安 2024-12-06 01:00 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!! 介绍 Nmap 脚本引擎 (NSE)
继续阅读Jolokia logback JNDI RCE漏洞复现
Jolokia logback JNDI RCE漏洞复现 原创 浩凯Security 浩凯信安 2024-12-06 00:31 免责声明浩凯信安(本公众号)的技术文章仅供参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!! 漏洞原理: 1.直接访问可触发漏洞的URL
继续阅读漏洞预警 | 海信智能公交企业管理系统SQL注入漏洞
漏洞预警 | 海信智能公交企业管理系统SQL注入漏洞 浅安 浅安安全 2024-12-06 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 海信智能公交企业管理系统是一款专为公交企业打造的智能化管理平台,旨在提升公交运营效率和服务质量。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 海信智能
继续阅读「漏洞复现」用友NC yerfile/down SQL注入漏洞(XVE-2024-34596)
「漏洞复现」用友NC yerfile/down SQL注入漏洞(XVE-2024-34596) 冷漠安全 冷漠安全 2024-12-05 21:28 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用
继续阅读【漏洞预警】Django Oracle SQL注入漏洞(CVE-2024-53908)
【漏洞预警】Django Oracle SQL注入漏洞(CVE-2024-53908) cexlife 飓风网络安全 2024-12-05 14:29 漏洞描述: Django是一个基于Python的开源Web应用框架,Django发布安全公告,修复了Django中的一个SQL注入漏洞(CVE-2024-53908),Django应用使用Oracle数据库作为后端时,当Django应用中的djan
继续阅读万能门店小程序管理系统 doPageGetFormList SQL注入漏洞
万能门店小程序管理系统 doPageGetFormList SQL注入漏洞 Superhero nday POC 2024-12-05 13:03 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们
继续阅读大模型的反序列化导致的RCE漏洞
大模型的反序列化导致的RCE漏洞 sule01u 黑伞安全 2024-12-05 10:04 大模型的反序列化导致的RCE漏洞 话说最近字节实习生通过编写、篡改代码等形式恶意攻击团队研究项目模型训练任务的事闹的沸沸扬扬,那气氛都到这了,我们来聊聊大模型的rce漏洞吧 引言 这可以从今年的CVE-2024-3568开始聊聊, CVE-2024-3568是Huggingface的Transformer
继续阅读日本CERT提醒:IO-Data 路由器中的多个0day已遭利用
日本CERT提醒:IO-Data 路由器中的多个0day已遭利用 Bill Toulas 代码卫士 2024-12-05 09:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 日本应急响应中心 (CERT) 提醒称,黑客正在利用 I-O Data 路由器设备中的多个0day漏洞,修改设备设置、执行命令、甚至关闭防火墙。 I-O Data 公司在网站发布安全通告,证实了这些漏洞的存在。然
继续阅读【漏洞通告】Django Oracle SQL注入漏洞(CVE-2024-53908)
【漏洞通告】Django Oracle SQL注入漏洞(CVE-2024-53908) 启明星辰安全简讯 2024-12-05 08:41 一、漏洞概述 漏洞名称 Django Oracle SQL注入漏洞 CVE ID CVE-2024-53908 漏洞类型 SQL注入 发现时间 2024-12-05 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无
继续阅读CVE-2024-31317 复现
CVE-2024-31317 复现 原创 腹黑 白帽100安全攻防实验室 2024-12-05 03:30 前言 前两天看到JD的公众号发了篇CVE-2024-31317漏洞的分析,通篇看下来感觉还是比较有意思,且车机目前主流方案均为安卓系统且都在该漏洞的有限范围内,遂开始复现。因为是用户态的提权,需先获取对应用户权限。因此在车联网场景下存在一定的限制,目前主流做法是限制未知签名的APK安卓且无法
继续阅读Zabbix 漏洞CVE-2024-42327 (CVSS 9.9)的 PoC 发布
Zabbix 漏洞CVE-2024-42327 (CVSS 9.9)的 PoC 发布 独眼情报 2024-12-05 03:11 安全研究员 Alejandro Ramos 发布了针对 CVE-2024-42327 的详细技术分析和概念验证 (PoC) 漏洞利用代码,CVE-2024-42327 是一个影响 Zabbix(一种广泛使用的开源企业网络和应用程序监控平台)的严重 SQL 注入漏洞。该漏
继续阅读Veeam 备份和复制漏洞曝光:高危漏洞使数据面临风险
Veeam 备份和复制漏洞曝光:高危漏洞使数据面临风险 独眼情报 2024-12-05 03:11 知名备份、恢复和数据管理解决方案提供商 Veeam Software 发布了 安全更新,以解决其 Veeam Backup & Replication 软件中的多个漏洞。这些漏洞可能允许经过身份验证的攻击者执行恶意代码、未经授权访问敏感信息并破坏连接系统的完整性。 这些漏洞中最严重的漏洞 C
继续阅读【漏洞复现】某平台-webservice-GetUDEFStreamID-delay-sql注入漏洞
【漏洞复现】某平台-webservice-GetUDEFStreamID-delay-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-05 02:55 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操
继续阅读通知 | 事件型漏洞收录范围调整
通知 | 事件型漏洞收录范围调整 补天平台 2024-12-05 02:41 事件型漏洞收录范围调整 为了鼓励更多的白帽子积极上发现的漏洞,帮助更多的企业维护产品安全性,补天收录范围更新, 取消权重的限制门槛,同时增加奖励形式。 01 事件型漏洞收录范围更新 补天漏洞响应平台将事件型漏洞收录范围进一步扩大,同时漏洞奖励形式增设荣誉币,旨在激励更多白帽子积极发现并上报漏洞,帮助更多的企业发现并修复漏
继续阅读API安全漏洞靶场crapi漏洞复现
API安全漏洞靶场crapi漏洞复现 进击的HACK 2024-12-04 23:55 项目介绍 crAPI 应用程序被建模为 B2C 应用程序,允许任何用户让汽车修理工完成他们的汽车维修。用户可以在 WebApp 上创建帐户、管理他/她的汽车、搜索汽车修理工、提交任何汽车的服务请求以及从供应商处购买汽车配件。WebApp 还有一个社区部分,用户可以在其中贡献博客文章和评论。 crAPI 应用程序
继续阅读网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇)
网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇) 进击的HACK 2024-12-04 23:55 前言 前些天写了那个凑数量的漏洞文章,貌似效果不错…… 当初熊猫刚入行的时候,新接个渗透项目,起手就是awvs、sqlmap、xray、appscan、owaspzap等等的一系列扫描器莽怼,碰碰运气,结果惨败在waf拦截之下…… 对于小白来说,工具
继续阅读