46套.NET系统漏洞威胁情报(11.22更新)
46套.NET系统漏洞威胁情报(11.22更新) 专攻.NET安全的 dotNet安全矩阵 2024-11-22 00:20 46 某克医疗系统SQL注入漏洞 46.1 漏洞概述 某 克电子技术有限公司医疗急救管理系统存在SQL注入漏洞。 该应用的***Service存在SQL注入漏洞。 POST /a**/****vice.asmx HTTP/1.1 X-Requested-With: XMLH
继续阅读标签: SSRF
【活动】双十一回血活动开启,单个漏洞奖励可达4万+!
【活动】双十一回血活动开启,单个漏洞奖励可达4万+! 邀您专测的 京东安全应急响应中心 2024-11-21 13:00 全业务通用漏洞 {四倍奖励} 11月25日0:00 12月1日24:00 京东全业务通用漏洞四倍 活动时间 11月25日0:00-12月1日24:00(7天) 活动范围 京东全业务通用漏洞 活动奖励 活动期间提交 “通用漏洞” 高危、严重4倍奖励 通用漏洞包含:SQL注入、No
继续阅读【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208)
【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208) 安迈信科应急响应中心 2024-11-21 03:50 01 漏洞概况 MTA在18.12.17之前版本的OFBiz中,由于权限控制不当,攻击者可以构造恶意请求通过服务端请求伪造(SSRF)的方式执行任意代码,导致服务器失陷。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Apache OFBiz远程代
继续阅读最新Invicti-Professional-V24.11 WEB漏洞扫描器更新|近期漏洞合集更新
最新Invicti-Professional-V24.11 WEB漏洞扫描器更新|近期漏洞合集更新 原创 城北 渗透安全HackTwo 2024-11-20 16:00 前言 内部星球近期漏洞验真合集更新|漏洞威胁情报更新 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 In
继续阅读网安瞭望台第 2期:零日漏洞密集爆发、2024年常见网络安全漏洞类型及分析
网安瞭望台第 2期:零日漏洞密集爆发、2024年常见网络安全漏洞类型及分析 原创 扬名堂 东方隐侠安全团队 2024-11-20 12:20 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 Ubuntu 服务器 Needrestart 软件包惊现严重安全漏洞 近日,Ubuntu 服务器(自 21.04 版本起默认安装)
继续阅读vulnhuntr:基于大语言模型和静态代码分析的漏洞扫描与分析工具
vulnhuntr:基于大语言模型和静态代码分析的漏洞扫描与分析工具 Alpha_h4ck FreeBuf 2024-11-20 11:27 关于vulnhuntr vulnhuntr是一款基于大语言模型和静态代码分析的安全漏洞扫描与分析工具,该工具可以算得上是世界上首款具备自主AI能力的安全漏洞扫描工具。 Vulnhuntr 利用 LLM 的强大功能自动创建和分析整个代码调用链,从远程用户输入开
继续阅读一文读懂SSRF漏洞
一文读懂SSRF漏洞 simple学安全 simple学安全 2024-11-20 10:56 目录 简介 SSRF全称服务器端请求伪造,是一种由攻击者构造请求,由服务器端发起请求的漏洞,正由于这一点,SSRF攻击的目标是外网无法访问的内网系统。 漏洞出现的原因是web应用程序提供了从其他服务器应用获取数据的功能,却没有对目标地址做过滤和限制。导致存在漏洞的应用成为攻击者的跳板机。 漏洞利用 1、
继续阅读DataCon晚自习 | 浅谈大模型辅助漏洞挖掘
DataCon晚自习 | 浅谈大模型辅助漏洞挖掘 eeuk DataCon大数据安全分析竞赛 2024-11-20 10:43 本文转载自“奇安信天工实验室” DataCon2024 正在如火如荼地进行,本次竞赛漏洞分析赛道题目融入了大模型的背景,以探索大模型在漏洞挖掘工作中的利用,本篇文章将为大家讲述大模型辅助漏洞挖掘相关内容,参赛者必看哦。 目 录 一、前 言 二、函数级别漏洞检测 三、代码
继续阅读CNNVD | 关于Apache OFBiz安全漏洞的通报
CNNVD | 关于Apache OFBiz安全漏洞的通报 中国信息安全 2024-11-20 10:12 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于Apache OFBiz安全漏洞(CNNVD-202411-2279、CVE-2024-47208)情况的报送。攻击者可以利用漏洞向目标发送恶意请求,通
继续阅读CNNVD关于Apache OFBiz安全漏洞的通报
CNNVD关于Apache OFBiz安全漏洞的通报 原创 CNNVD CNNVD安全动态 2024-11-20 09:05 点击蓝字 关注我们 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于Apache OFBiz安全漏洞(CNNVD-202411-2279、CVE-2024-47208)情况的报送。攻击者可以利用漏洞向目标发送恶意请求,通过服务端请求伪造的方式远程执行任意代码。Apa
继续阅读wget 存在SSRF 0day漏洞 CVE-2024-10524
wget 存在SSRF 0day漏洞 CVE-2024-10524 独眼情报 2024-11-20 07:42 流行的 Wget 下载实用程序中新发现的一个漏洞可能允许攻击者发起服务器端请求伪造 (SSRF) 攻击。 JFrog 的安全研究员 Goni Golan 发现了 Wget 中的一个漏洞,Wget 是一个广泛使用的从互联网下载文件的命令行工具。该漏洞的编号为 CVE-2024-10524,
继续阅读【漏洞通告】Apache OFBiz多个远程代码执行漏洞安全风险通告
【漏洞通告】Apache OFBiz多个远程代码执行漏洞安全风险通告 嘉诚安全 2024-11-19 01:28 漏洞背景 近日,嘉诚安全监测到Apache OFBiz中修复了两个远程代码执行漏洞,漏洞编号分别是:CVE-2024-47208和CVE-2024-48962。 Apache OFBiz是一个著名的电子商务平台,提供了创建基于最新J2EE/ XML规范和技术标准,构建大中型企业级、跨平
继续阅读从302到RCE,拿shell就像喝水一样简单
从302到RCE,拿shell就像喝水一样简单 迪哥讲事 2024-11-18 21:56 免责声明 :请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 从前两天《从404到RCE 》的文章反馈来看,大家很喜欢看这个系列嘛(还没看过的铁汁
继续阅读【漏洞预警】Apache OFBiz远程代码执行漏洞CVE-2024-47208
【漏洞预警】Apache OFBiz远程代码执行漏洞CVE-2024-47208 cexlife 飓风网络安全 2024-11-18 14:03 漏洞描述: ApacheOFBiz是一个著名的电子商务平台,提供了创建基于最新J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架,Apache OFBiz中修复了一个远程代码执行
继续阅读【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208)
【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208) 启明星辰安全简讯 2024-11-18 08:56 一、漏洞概述 漏洞名称 Apache OFBiz远程代码执行漏洞 CVE ID CVE-2024-47208 漏洞类型 代码注入、SSRF 发现时间 2024-11-18 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互
继续阅读工具 | 集成高危漏洞exp的实用性渗透工具
工具 | 集成高危漏洞exp的实用性渗透工具 渗透安全团队 2024-11-18 03:02 由于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 01 工具介绍 该工具使用了ExpDemo-JavaFX项目,保留了核心的数据包请求接口,使用jdk1.8环境开发。目前编写了oa、设备、框架、产品等多个系列,对相关漏洞进行复现和分析,极力避免exp的误报和有效性。 截止到目前为止,已实现了
继续阅读原创 | 一文看懂服务器请求伪造漏洞
原创 | 一文看懂服务器请求伪造漏洞 原创 奋斗的小浪 船山信安 2024-11-17 07:37 什么是请求伪造攻击? 如果Web系统中存在服务器请求伪造漏洞,不仅会影响系统本身,而且会影响到与其相关的其他系统服务。一个被忽视的服务器请求伪造漏洞,很容易引起蝴蝶效应,可能给整个系统带来长期的巨大危害。 什么是服务器请求伪造? 服务器请求伪造(Server-Side Request Forgery
继续阅读springboot环境下的写文件RCE
springboot环境下的写文件RCE 原创 珂字辈 珂技知识分享 2024-11-14 14:49 一、 java特性加载类文件 传统的ssh key/任务计划就不说了,介绍一下已经流行开来的几种java特性加载类文件。 1,charsets.jar LandGrey首发 https://landgrey.me/blog/22/复现过程 https://mp.weixin.qq.com/
继续阅读Apache OFBiz 命令执行漏洞分析(CVE-2024-45195、CVE-2024-45507)
Apache OFBiz 命令执行漏洞分析(CVE-2024-45195、CVE-2024-45507) 原创 元亨-blckder02 中孚安全技术研究 2024-11-13 17:31 环境搭建 下载地址: https://archive.apache.org/dist/ofbiz/ 解压后用 IDEA 打开,点击右侧栏 Gradle 中的 build 之后会生成一个 biuld 目录,该目录
继续阅读SDC2024 议题回顾 | 大模型软件生态系统的安全隐患:从传统漏洞到新型威胁
SDC2024 议题回顾 | 大模型软件生态系统的安全隐患:从传统漏洞到新型威胁 原创 SDC 2024 看雪学苑 2024-11-12 18:00 “ 大模型技术的迅猛发展和广泛应用,催生了一个庞大而复杂的软件生态系统,支撑着大模型的训练、推理、部署和服务。然而,随之而来的安全隐患也逐渐显现。 从”Shadowray”漏洞(CVE-2023-48022)到”P
继续阅读一次通过Fuzz API发现漏洞的旅程
一次通过Fuzz API发现漏洞的旅程 迪哥讲事 2024-11-10 22:25 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 背景介绍 由于漏洞披露原因,暂将目标网站称为“target.com”。在对目标网站进行漏洞挖掘时,首先的一些必要动作包括: – 重置电子邮件获取
继续阅读中间件安全|WebLogic漏洞汇总
中间件安全|WebLogic漏洞汇总 原创 Cyb3rES3 Cyb3rES3c 2024-11-09 13:02 0x0声明 由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人承担,Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知,我们将立即删除相关内容并致歉。请遵守《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规。 0x1
继续阅读一则SSRF漏洞的故事
一则SSRF漏洞的故事 迪哥讲事 2024-11-08 23:54 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 背景介绍 该项目为一个云银行平台,使银行提供商能够根据他们的描述快速创建、推出和服务贷款和存款产品。 漏洞发现 白帽小哥正在测试的子域有两个权限Admin&am
继续阅读一个价值【$2000】的漏洞
一个价值【$2000】的漏洞 迪哥讲事 2024-11-02 23:13 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 更多精彩请看: 首先点击“忘记密码”,然后拦截该请求包,请求包内容如下: POST /auth/realms/Redacted/login-actions/reset
继续阅读使用 CodeQL 发现 Portainer 中的隐藏漏洞
使用 CodeQL 发现 Portainer 中的隐藏漏洞 Ots安全 2024-11-02 10:31 最近,我们研究了一个关于 Portainer 的项目,Portainer 是用于管理 Kubernetes 和 Docker 环境的首选开源工具。Portainer 在 GitHub 上拥有超过 3 万颗星,它为您提供了一个用户友好的 Web 界面,可让您轻松部署和监控容器化应用程序。 由于
继续阅读有关漏洞挖掘的一些总结
有关漏洞挖掘的一些总结 缥缈红尘 迪哥讲事 2024-10-27 22:11 时隔一年多以后再次看本文,依然给我一些启发,尤其是经过一定量的实践以后,发现信息收集真乃漏洞挖掘(渗透测试)的本质,这里再次回顾一下本文,尤其是里面如何评估一个项目(目标)的难度,值得学习与借鉴,对于新手而言,学会寻找”软柿子”很重要! 一次随想,一次失败: 有时候闲聊的时候,总会迸发出很多想法。
继续阅读勒索攻击离你有多远?(附勒索漏洞检测列表)
勒索攻击离你有多远?(附勒索漏洞检测列表) 长亭科技 2024-10-25 18:06 2023年11月,一家知名金融机构在美子公司突然在官网发布紧急声明,称公司遭受了勒索软件攻击,导致部分业务系统中断。该事件迅速引发市场和监管机构的关注。 2024年8月,全球石油巨头哈里伯顿(Halliburton)遭遇勒索攻击,IT系统遭到破坏,业务运营陷入混乱,订单采购等日常业务受到影响。勒索软件组织向哈里
继续阅读【公告】中通安全应急响应中心漏洞评分标准V4.0正式发布
【公告】中通安全应急响应中心漏洞评分标准V4.0正式发布 中通安全应急响应中心 2024-10-25 09:22 为适应公司业务范围调整的变化 同时有效提升 中通SRC白帽师傅与平台的体验, 中通安全应急响应中心漏洞评分标准V4.0(试运行版)已 正式发布 (文末点击阅读原文可见完整内容) 为方便大家快速了解 现就本次更新的主要内容进行重点展示 业务系数说明 随着中通内部业务的发展变化,本次更新调
继续阅读深入分析自己曾经挖掘到的有趣的XSS漏洞
深入分析自己曾经挖掘到的有趣的XSS漏洞 迪哥讲事 2024-10-24 23:58 Part1 前言 大家好,我是ABC_123 。最近翻看之前的笔记,发现曾经有一段时间特别热衷于挖掘各式各样的XSS漏洞,于是挑选了几个比较有意思的XSS漏洞案例,重新整理一下分享给大家。重新整理笔记,也是一个学习与提升的过程,改正了之前笔记的一些错误。 Part2 技术研究过程 利用宽字节吃掉转义字符 这个案例
继续阅读美国海关执法局间谍软件项目被叫停,将接受白宫合规审查;新型Spectre漏洞变种持续威胁Intel和AMD处理器安全性 | 牛览
美国海关执法局间谍软件项目被叫停,将接受白宫合规审查;新型Spectre漏洞变种持续威胁Intel和AMD处理器安全性 | 牛览 安全牛 2024-10-23 13:23 新闻速览 •美国海关执法局间谍软件合同被叫停,将接受白宫审查 •澳大利亚发布首份商业AI产品使用隐私指南 •北京市新增12款已完成备案的生成式人工智能服务 •《网络安全标准实践指南》文件管理办法、标准参与单位管理办法等2项制度文
继续阅读