2024最常被利用的十大漏洞
2024最常被利用的十大漏洞 橘猫学安全 2024-08-24 16:03 作者:布加迪,转载自嘶吼专业版 黑客攻击变得一年比一年高级和复杂,因此现在追踪了解安全漏洞比以往任何时候都来得重要。本文着重介绍了2022年恶意威胁分子利用的一些最危险的漏洞。 1. Follina(CVE- 2022 – 30190) CVE-2022-30190(非正式名称为“Follina”)在2022年5月被披露,
继续阅读标签: SSRF
某友U8+CRM的SSRF漏洞
某友U8+CRM的SSRF漏洞 原创 Yang 红细胞安全实验室 2024-08-24 14:03 ❝ 文章来源于粉丝@Yang投稿,如需投稿可联系wx:hgd954589464,欢迎各位师傅踊跃投稿! 概述 某友-CRM系统,xxxx.php文件,存在有回显SSRF漏洞,任意文件读取,探测内网服务,结合其它协议、服务进行getShell。 攻击流程图 什么是SSRF? 概述 SSRF (Serv
继续阅读微软Copilot Studio存在严重的信息泄露漏洞
微软Copilot Studio存在严重的信息泄露漏洞 鹏鹏同学 黑猫安全 2024-08-22 11:27 微软Copilot Studio存在严重的安全漏洞,CVE-2024-38206编号,CVSS评分8.5分。攻击者可以利用漏洞访问敏感信息。漏洞是一种信息泄露漏洞,源于服务器端请求 forgery(SSRF)攻击。微软发布的安全通报中写道:“已认证的攻击者可以绕过Microsoft Cop
继续阅读第十五课-系统学习代码审计:SSRF漏洞利用和常见防御写法以及绕过方式
第十五课-系统学习代码审计:SSRF漏洞利用和常见防御写法以及绕过方式 开发小鸡娃 安全随心录 2024-08-21 22:31 SSRF漏洞 读完需要 6 分钟 速读仅需 2 分钟 视频教程:( https://www.bilibili.com/video/BV1KT421k7ZE ) 主要内容: 1、Java 中发起网络请求的常见类 2、不同类支持的不同协议 3、防御手法 4、绕过手法 /SS
继续阅读「 典型安全漏洞系列 」08.文件上传漏洞详解
「 典型安全漏洞系列 」08.文件上传漏洞详解 原创 筑梦网安 全栈安全 2024-08-21 21:16 往期回顾 「 典型安全漏洞系列 」07.OS命令注入详解 「 典型安全漏洞系列 」06.路径遍历(Path Traversal)详解 「 典型安全漏洞系列 」05.XML外部实体注入XXE详解 「 典型安全漏洞系列 」04.服务器端请求伪造SSRF详解 「 典型安全漏洞系列 」03.跨站请求
继续阅读让XSS漏洞无处遁形!0x1
让XSS漏洞无处遁形!0x1 迪哥讲事 2024-08-21 20:53 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 背景 安全小白团 今天我将讨论使用不同技术的多种跨站脚本(XSS) 攻击,这是我在参与各种漏洞赏金计划时发现的。 XSS:(跨站脚本)是一种安全漏洞,当攻击者向其他用户查看的网页中注入恶意脚本时,这种漏
继续阅读「推安早报」0819 | Chrome、Zabbix等漏洞、红队工具更新
「推安早报」0819 | Chrome、Zabbix等漏洞、红队工具更新 bggsec 甲方安全建设 2024-08-19 17:32 # 2024-08-19 「红蓝热点」每天快人一步 > 1. 推送「新、热、赞」,帮部分人阅读提效 2. 学有精读浅读深读,艺有会熟精绝化,觉知此事重躬行。推送只在浅读预览 3. 机读为主,人工辅助,每日数万网站,10w推特速读 4. 推送可能大众或小众,不
继续阅读【0day】DouPHP 1.7 Release 20220822 远程代码执行漏洞
【0day】DouPHP 1.7 Release 20220822 远程代码执行漏洞 安全之眼SecEye 2024-08-19 17:11 点击上方「蓝字」,关注我们 因为公众号现在只对常读和星标的公众号才能展示大图推送,建议大家进行星标 。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 01 免责声明 免责声明: 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文
继续阅读关于防爬虫及服务器漏洞扫描相关问题的探讨| 总第258周
关于防爬虫及服务器漏洞扫描相关问题的探讨| 总第258周 原创 群秘 君哥的体历 2024-08-19 16:01 0x1本周话题 话题一:大家防爬虫有啥好方法么?有几个接口每天定点频率很低的来爬,每个 ip 就查询 1-2 次,查询条件精准输入,绕过了网易盾的验证码,阿里云 waf 也没防住。 A1:限制非登录用户的访问。 A2:是需要登陆后访问的,这基本的条件是有的。是微信小程序、
继续阅读24HVV漏洞威胁最新情报(全)
24HVV漏洞威胁最新情报(全) 原创 LHACK安全 LHACK安全 2024-08-19 10:01 免责声明 本文所提供的技术、信息或工具仅供学习和参考使用。 请不要将这些信息用于任何非法或不当行为。 使用本文内容引起的任何损失或后果,完全由使用者负责,作者不承担任何责任。 使用这些信息即表示您同意本免责声明,并承诺遵守所有相关法律法规和道德规范。 HVV专项漏洞情报**** K35-1开源
继续阅读挖漏洞经验分享,挖漏洞赚取生活费,7天收益近2200,教你从零基础挖漏洞的正确姿势!
挖漏洞经验分享,挖漏洞赚取生活费,7天收益近2200,教你从零基础挖漏洞的正确姿势! 编程技术栈 2024-08-17 15:35 经常有小伙伴问我。 为什么自己总是挖不到漏洞呢? 渗透到底是什么样的流程呢? 所以全网最详细的渗透测试流程来了!!! 全篇文章内容较长,请耐心观看! 渗透测试 渗透测试其实就是通过一些手段来找到网站,APP,网络服务,软件,服务器等网络设备和应用的漏洞,告诉管理员有哪
继续阅读微软2024年8月发布补丁,解决88个CVE漏洞问题
微软2024年8月发布补丁,解决88个CVE漏洞问题 原创 Tenable SRT Tenable安全 2024-08-16 09:18 微软解决了88个CVE漏洞,其中有7个关键漏洞和10个零日漏洞,其中6个已经被恶意利用 背景 微软在2024年8月发布的“补丁星期二”补丁中修补了88个漏洞,其中7个被评为严重漏洞,80个被评为高危漏洞,1个被评为中危漏洞。。 本月的更新包括以下修补程序: &#
继续阅读Microsoft Azure Health曝出严重漏洞,可能导致横向移动
Microsoft Azure Health曝出严重漏洞,可能导致横向移动 小薯条 FreeBuf 2024-08-15 19:01 近日,研究人员发现了一个服务器端请求伪造(SSRF)漏洞(CVE-2024-38109),利用该漏洞可访问服务内的跨租户资源,有可能导致横向移动。 Azure 健康机器人服务(Azure Health Bot Service)是一个专为医疗机构创建和部署人工智能驱动
继续阅读SSRF到本地文件包含,再到RCE – Include
SSRF到本地文件包含,再到RCE – Include 原创 M1n9K1n9 APT250 2024-08-10 20:53 TryHackMe – Include 使用服务器利用技能来控制 Web 应用程序。 1.SSRF(服务器端请求伪造) SSRF(Server-Side Request Forgery)是一种网络攻击方式,攻击者利用应用程序的功能直接向服务器发起请
继续阅读实战| 一次host头中毒导致的逻辑漏洞(骚思路)
实战| 一次host头中毒导致的逻辑漏洞(骚思路) 橘猫学安全 2024-08-07 14:51 翻到某安全公众号时,发现的一个骚思路。 有些网站开发者会提取request包里的host头来获取域名信息,但是host头可以被修改,是不可信的。 于是攻击者可以通过构造host头来进行投毒攻击。 例如发送包含受害者网站域名链接的功能,像是密码找回、发送验证链接等,只要业务上利用了类似于域名提取的功能,
继续阅读HW2024汇总-8.6(漏洞数229)
HW2024汇总-8.6(漏洞数229) 原创 小白菜安全 小白菜安全 2024-08-07 10:15 漏洞清单 DAY-20240806 1、赛蓝企业管理系统GetFieldJson存在SQL注入漏洞 2、Apache Tomcat拒绝服务漏洞(CVE-2024-24549) 3、Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856) 4、Apache HTTP Se
继续阅读某系统回显SSRF+文件上传0Day审计过程
某系统回显SSRF+文件上传0Day审计过程 原创 Ting丶 Ting的安全笔记 2024-08-06 20:11 上班摸鱼的时间,打开朋友发的源码审了审,准备储备点C*VD,为后面…………(彩蛋:加V:f18089848863进群) 回显SSRF 其实一开始是想审一下任意文件下载的,所以全局搜索了一下download 函数 如图 然后看到这里有一
继续阅读探索AI聊天机器人工作流程实现RCE
探索AI聊天机器人工作流程实现RCE 原创 玲珑安全官方 芳华绝代安全团队 2024-08-06 19:31 前言 我发现了一个广泛使用的AI聊天机器人平台中的远程代码执行漏洞。该漏洞存在于聊天机器人的自定义工作流响应代码中,这些工作流允许开发人员通过创建定制的流程来扩展机器人的功能。 正文 在浏览自动化聊天机器人的多个特定功能时,其中一个引起我注意的功能是“Start from scratch”
继续阅读XML 基础知识 && XXE 漏洞原理解析及实验
XML 基础知识 && XXE 漏洞原理解析及实验 编码安全研究 2024-08-05 17:07 XML 介绍 XXE全称XML外部实体注入,所以在介绍XXE漏洞之前,先来说一说什么是XML以及为什么使用XML进而再介绍一下XML的结构。 XML全称 可拓展标记语言,与HTML相互配合后: – HMTL用来显示数据 HTML的焦点在于数据的外观(如何显示数据) XML
继续阅读干货 | vCenter 漏洞利用总结
干货 | vCenter 漏洞利用总结 安小圈 2024-08-05 08:45 安小圈 第467期 vCenter 漏洞_总结 免责声明: 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。**** 1 vSphere 背景介绍 vSphere,ESXi 和 vCenter 辨析: VMware Inc
继续阅读CVE-2024-40725|Apache HTTP Server 源代码泄露漏洞(POC)
CVE-2024-40725|Apache HTTP Server 源代码泄露漏洞(POC) alicy 信安百科 2024-08-03 22:04 0x00 前言 Apache HTTP Server(简称Apache),是Apache软件基金会的一个开放源代码的网页服务器,可以在大多数电脑操作系统中运行,由于其具有的跨平台性和安全性,被广泛使用,是最流行的Web服务器端软件之一。 Apache
继续阅读CVE-2024-6980 Bitdefender GravityZone 存在严重漏洞
CVE-2024-6980 Bitdefender GravityZone 存在严重漏洞 flyme 独眼情报 2024-08-03 11:54 Bitdefender GravityZone 更新服务器中发现了一个漏洞。该漏洞可能允许攻击者在目标更新服务器上执行服务器端请求伪造 (SSRF)。该漏洞 (CVE-2024-6980) 的 CVSS 4.0 评分为 9.2(满分 10 分)。 描述:
继续阅读一文读懂2024HW & 2024HW漏洞合集
一文读懂2024HW & 2024HW漏洞合集 Hacking黑白红 2024-08-03 09:28 免责声明 请勿利用文章内的相关技术从事非法测试。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,请务必遵守网络安全法律法规。如文中内容涉及侵权行为,请及时联系作者,我们会立刻删除并致歉。文中内容仅供参考。 何为护网行动? 护
继续阅读TOP10 漏洞详解
TOP10 漏洞详解 零漏安全 白帽子社区团队 2024-07-30 22:14 本文仅用于技术研究学习,请遵守相关法律,禁止使用本文所提及的相关技术开展非法攻击行为,由于传播、利用本文所提供的信息而造成任何不良后果及损失,与本账号及作者无关。 关于无问社区 无问社区致力于打造一个面向于网络安全从业人员的技术综合服务社区,可免费获取安全技术资料,社区内技术资料知识面覆盖全面,功能丰富。 特色功能:
继续阅读子域名模糊测试实现RCE
子域名模糊测试实现RCE 原创 玲珑安全官方 芳华绝代安全团队 2024-07-27 23:03 正文 在之前测试一个私人项目时,我报告了admin.Target.com上的Auth Bypass漏洞,这将导致 SQLI&RCE ,该漏洞在报告后仅一天就被修复。 现在重拾该应用程序,对子域进行模糊测试: ffuf -w /subdomain_megalist.txt -u ‘https:/
继续阅读【泛微】漏洞利用PoC整理
【泛微】漏洞利用PoC整理 原创 F1rstb100d 智佳网络安全 2024-07-27 14:45 unsetunset泛微E-Mobile系列unsetunset E-mobile lang2sql接口任意文件上传漏洞 title=”移动管理平台-企业管理” POST /emp/lang2sql?client_type=1&lang_tag=1 HTTP/1.
继续阅读2024HVV漏洞整合
2024HVV漏洞整合 小白菜安全 2024-07-27 14:21 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 这几天的已公开和未公开漏洞清单**** DAY 1 1、(暂无
继续阅读利用SSRF漏洞读取云服务元数据
利用SSRF漏洞读取云服务元数据 原创 安全工程师实录 安全工程师实录 2024-07-27 09:41 关于SSRF漏洞原理就不过多赘述了,我们只需要理解攻击者可以将漏洞点当做一台跳板机来读取内网里的数据。如果目标资产部署在云上的话,其实我们可以有新的玩法—-读取元数据。本次漏洞利用思路以阿里云为例(其他云平台之后有空再写)。 在阿里云的语境中,“元数据地址”通常指的是 ECS (E
继续阅读LangChain曝关键漏洞,数百万AI应用面临攻击风险
LangChain曝关键漏洞,数百万AI应用面临攻击风险 疯狂冰淇淋 FreeBuf 2024-07-27 09:31 左右滑动查看更多 LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日,来自Palo
继续阅读【安全圈】LangChain曝关键漏洞,数百万AI应用面临攻击风险
【安全圈】LangChain曝关键漏洞,数百万AI应用面临攻击风险 安全圈 2024-07-26 19:00 关键词 安全漏洞 LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日,来自Palo Alto
继续阅读