【漏洞复现】某平台-Sc-Clue-count-search-sql注入漏洞
【漏洞复现】某平台-Sc-Clue-count-search-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-03 02:14 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息
继续阅读标签: SQL注入
微软超高危漏洞“狂躁许可”:从无回显漏洞看传统漏扫局限性
微软超高危漏洞“狂躁许可”:从无回显漏洞看传统漏扫局限性 原创 产品与解决方案部 威努特安全网络 2024-12-03 00:02 Part.1 引 言 随着网络安全威胁的不断升级,企业面临的攻击手段日益复杂,漏洞利用成为最常见的入侵途径之一。今年7月9日,微软披露了一个超高危漏洞CVE-2024-38077,其CVSS评分高达9.8,研究人员将其命名为 MadLicense(狂躁许可)。根据有
继续阅读Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (上)
Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (上) 原创 Heihu577 Heihu Share 2024-12-02 15:23 前言 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 Shiro 的漏洞已爆出很多年, 我们只关心到了它如何触发, 有时并没有想过这个框架是干嘛的, 甚至没有分析过该框架的
继续阅读【漏洞情报】九思协同办公系统存在SQL注入漏洞
【漏洞情报】九思协同办公系统存在SQL注入漏洞 cexlife 飓风网络安全 2024-12-02 14:37 漏洞描述:九思协同办公系统/jsoa/workflow/dwr/exec/workflowSync.getUserStatusByRole.dwr存在SQL注入漏洞,可利用该漏洞获取数据库中的敏感信息等,未经授权的攻击者可以通过该漏洞获取数据库敏感信息。临时修复建议:1、加强系统和网络的
继续阅读文末抽奖福利!发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
文末抽奖福利!发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! 听风安全 2024-12-02 12:28 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOn
继续阅读【福利抽奖】用网空测绘ZoomEye主动发现被黑的网站
【福利抽奖】用网空测绘ZoomEye主动发现被黑的网站 原创 pbuff07 增益安全 2024-12-02 10:34 ZoomEye用来干啥的不多说了,没听过没见过的直接点下方链接学习下~ 如何用ZoomEye助力小白挖到第一个漏洞 除了可以用来发现资产、找漏洞外,还可以主动监控全网哪些网站被黑了,对于甲方或者监管可以快速监控和响应,下面介绍几个办法(也是目前我所采用的方式)。 1、使用被黑的
继续阅读VMware 修复 Aria Operations 中的多个高危漏洞
VMware 修复 Aria Operations 中的多个高危漏洞 Ryan Naraine 代码卫士 2024-12-02 10:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周二,VMware 修复了位于产品 Aria Operations 中的至少5个安全漏洞。 VMware 在这云IT运维平台上发现了五个漏洞,并提醒用户称恶意黑客可构造 exp,实现提权或发动XSS攻击。
继续阅读API测试思路及crAPI漏洞靶场复现
API测试思路及crAPI漏洞靶场复现 原创 LULU 红队蓝军 2024-12-02 10:03 环境搭建 地址:https://github.com/OWASP/crAPI curl -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker-compose.yml
继续阅读【已复现】Zabbix SQL注入漏洞(CVE-2024-42327) 安全风险通告
【已复现】Zabbix SQL注入漏洞(CVE-2024-42327) 安全风险通告 奇安信 CERT 2024-12-02 09:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Zabbix SQL注入漏洞 漏洞编号 QVD-2024-48731,CVE-2024-42327 公开时间 2024-11-27 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 9.
继续阅读非管理员就可访问!Zabbix SQL注入漏洞安全风险通告
非管理员就可访问!Zabbix SQL注入漏洞安全风险通告 应急响应中心 亚信安全 2024-12-02 09:34 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,在Zabbix中披露了一个SQL注入漏洞(CVE-2024-42327)。Zabbix前端的CUser类中存在一个SQL注入漏洞,具体位于addRelatedObjects函数中。该函数由CUser.get函数调用,任何具有
继续阅读【工具分享】I-Wanna-Get-All 主流OA漏洞利用工具
【工具分享】I-Wanna-Get-All 主流OA漏洞利用工具 Mstir 星悦安全 2024-12-02 08:58 点击上方 蓝字 关注我们 并设为 星标 0x01 工具简介 集成漏洞系统包括:用友、泛微、蓝凌、万户、致远、通达、帆软、金蝶、金和、红帆、宏景、浪潮、普元、亿赛通、海康威视、飞企互联、大华DSS、jeecg-boot 集成memshell功能:用友NC、用友U8C、亿赛通、帆软
继续阅读海信智能公交企业管理系统 apply.aspx SQL注入漏洞
海信智能公交企业管理系统 apply.aspx SQL注入漏洞 Superhero nday POC 2024-12-02 08:42 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读Palo Alto Networks PAN-OS身份认证绕过导致RCE漏洞(CVE-2024-0012)
Palo Alto Networks PAN-OS身份认证绕过导致RCE漏洞(CVE-2024-0012) Superhero nday POC 2024-12-02 07:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担
继续阅读Linux安全警报:首个UEFI bootkit恶意软件现身;ThinkPad笔记本曝硬件级漏洞,黑客可偷偷控制摄像头 | 牛览
Linux安全警报:首个UEFI bootkit恶意软件现身;ThinkPad笔记本曝硬件级漏洞,黑客可偷偷控制摄像头 | 牛览 安全牛 2024-12-02 05:04 点击蓝字·关注我们 / aqniu 新闻速览 •隐私监管审查不断加码,Tor项目或启动WebTunnel网桥扩展计划 •澳大利亚新《网络安全法》获通过,强制要求报告勒索赎金支付 •Linux系统警报:首个UEFI bootk
继续阅读任子行网络安全审计系统 log_fw_ips_scan_jsondata SQL注入漏洞
任子行网络安全审计系统 log_fw_ips_scan_jsondata SQL注入漏洞 Superhero nday POC 2024-12-02 02:13 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请
继续阅读「漏洞复现」九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞
「漏洞复现」九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞 冷漠安全 冷漠安全 2024-12-02 00:03 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使
继续阅读漏洞预警 | SRM智联云采系统SQL注入漏洞
漏洞预警 | SRM智联云采系统SQL注入漏洞 浅安 浅安安全 2024-12-02 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 智互联科技有限公司的SRM智联云采系统是一款专业的数字采购平台,旨在助力企业实现采购数字化转型,提升供应链管理的效率和协同能力。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息
继续阅读【0day】电子图书阅读平台downFile存在SQL注入漏洞
【0day】电子图书阅读平台downFile存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-12-01 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 电子图书阅读平台提供了超过千万册图书的在线阅读服务。其界面简洁,搜索功能强大,用户只需输入书名即可快速找到对应的电子书资源,并可选择多种格式进行下载阅读。它支持中文
继续阅读秦安:刘纪鹏教授披露的这个股市不公平规则,亿万股民需怒吼叫停
秦安:刘纪鹏教授披露的这个股市不公平规则,亿万股民需怒吼叫停 原创 秦安战略 秦安战略 2024-12-01 13:15 股市走到这个地步,真是一手好牌打烂了。我看了粉丝的留言,机构有了一个别称“jigou”,我看还得加一个“不如”。原因在于党和国家最高层面都指挥不动了,中信证券自己的研究报告证明,机构并没有大力入场,而是处于观望的状态。即便是27日股市迎来难得的反弹,依然没有放太大的量,数据不会
继续阅读知名工业WiFi接入点被曝存在20多个漏洞
知名工业WiFi接入点被曝存在20多个漏洞 黑白之道 2024-12-01 07:57 近期,Advantech工业级无线接入点设备被曝光存在近二十个安全漏洞,部分漏洞可被恶意利用以绕过身份验证并执行高权限代码。 网络安全公司Nozomi Networks在周三发布的分析报告中警告称:“这些漏洞带来了严重的安全风险,它们允许未经身份验证的远程代码以根权限执行,全面威胁到受影响设备的保密性、完整性和
继续阅读CVE-2024-42327|Zabbix SQL注入漏洞
CVE-2024-42327|Zabbix SQL注入漏洞 alicy 信安百科 2024-12-01 01:30 0x00 前言 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 Zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。 Zabbix由2部分构成, Zabbix serv
继续阅读Advantech工业级Wi-Fi接入点多个安全漏洞
Advantech工业级Wi-Fi接入点多个安全漏洞 锋刃科技 2024-11-30 18:13 Advantech EKI 系列工业级 Wi-Fi 接入点是用于工业自动化和物联网(IoT)环境中的无线网络解决方案。它们设计用于提供高性能的无线连接,并支持远程监控与管理,适用于智能工厂、自动化生产线等应用。 01 漏洞描述 Advantech EKI 系列工业级 Wi-Fi 接入点中,发现了多达
继续阅读俄国黑客组织 RomCom 利用 Firefox 和 Tor 浏览器零日漏洞,攻击欧洲和北美用户
俄国黑客组织 RomCom 利用 Firefox 和 Tor 浏览器零日漏洞,攻击欧洲和北美用户 原创 紫队 紫队安全研究 2024-11-30 03:59 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
继续阅读FreeBuf周报 | VPN正成为企业入侵的关键路径;知名压缩工具7-Zip存在严重漏洞
FreeBuf周报 | VPN正成为企业入侵的关键路径;知名压缩工具7-Zip存在严重漏洞 Alpha_h4ck FreeBuf 2024-11-30 02:02 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. VPN正在成为企业入侵的关键路径 研究人员发现了Palo Alt
继续阅读某众测记录|细心 = or ≠ 漏洞 ?
某众测记录|细心 = or ≠ 漏洞 ? 实战安全研究 2024-11-30 01:03 群友投稿的文章 “近时间参加了某众测活动,资产是真的难打 RcyQJzSQDTJxz7RSO9hd3jHIdOHQm9c6Li22u8H3pSdPPcJLSAHphXyBpEsxa7zFAEt3kdJxGJQti3LWkV0ROBaGmE4qv5GQ3Cxtxa3FWDNqi4K2YTgEe6Bb
继续阅读施耐德电气、mySCADA 和 Automated Logic 产品中发现严重 ICS 漏洞
施耐德电气、mySCADA 和 Automated Logic 产品中发现严重 ICS 漏洞 会杀毒的单反狗 军哥网络安全读报 2024-11-30 01:01 导读 Cyble ICS 漏洞最新报告披露施耐德电气、mySCADA 和 Automated Logic 等主要供应商的工业控制系统 (ICS) 中的几个严重漏洞。 这些漏洞中,有些被归类为高风险,使制造业、能源和通信等关键行业的系统面临
继续阅读【漏洞复现】九思OA getUserStatusByRole存在SQL注入漏洞
【漏洞复现】九思OA getUserStatusByRole存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-30 00:02 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **九思OA系统是安装、实施、学习、操作、维护的OA系统,由北京九思协同软件有限公司开发。九思OA getUserStatusByRole存在SQL
继续阅读漏洞预警 | 任子行网络安全审计系统SQL注入漏洞
漏洞预警 | 任子行网络安全审计系统SQL注入漏洞 浅安 浅安安全 2024-11-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 任子行网络安全审计系统是一款提供全方位网络流量监控与分析的安全解决方案,适用于政府、企业和公共机构。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 任子行网络安全
继续阅读从404到RCE,挖洞像喝水一样简单
从404到RCE,挖洞像喝水一样简单 Z2O安全攻防 2024-11-29 21:39 免责声明 :请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 又到年底冲刺的阶段了,各种众测,攻防演练项目也都接踵而来。好久没有水文章了,今天来冒个泡
继续阅读Shiro漏洞利用工具 — ShiroEXP(11月26日更新)
Shiro漏洞利用工具 — ShiroEXP(11月26日更新) Y5neKO Web安全工具库 2024-11-29 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,
继续阅读