CVE-2025-25065|Zimbra存在SSRF漏洞
CVE-2025-25065|Zimbra存在SSRF漏洞 alicy 信安百科 2025-03-01 10:01 0x00 前言 Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。 Zimbra的核心产品是Zimbra协作套件(Zimbr
继续阅读标签: SSRF
如何修复常见的WEB漏洞
如何修复常见的WEB漏洞 xsser xsser的博客 2025-02-28 15:24 常见Web漏洞修复解决方案 一、SQL注入漏洞 漏洞原理 攻击者通过构造恶意输入篡改SQL语句逻辑,绕过身份验证或直接操纵数据库。例如,输入 ‘ OR 1=1– 使查询条件恒为真,泄露全表数据。 虚构修复方案 动态语法树重组(Dynamic Syntax Tree Reshaping, DSTR
继续阅读渗透测试新利器!EZ漏洞扫描器全面解析
渗透测试新利器!EZ漏洞扫描器全面解析 原创 SecCeo 泷羽Sec-Ceo 2025-02-28 11:06 EZ 工具介绍 EZ是一款集信息收集、端口扫描、服务暴破、URL爬虫、指纹识别、被动扫描为一体的跨平台漏洞扫描器,渗透测试中,可辅助发现常见的SQL注入、XSS、XXE、SSRF之类的漏洞,通过内置的POC辅助发现Apache Shiro、RabbitMQ、Struts2之类的通用组件
继续阅读2024漏洞风险启示录:在攻防的螺旋中寻找「治愈」之道
2024漏洞风险启示录:在攻防的螺旋中寻找「治愈」之道 腾讯安全 2025-02-28 10:24 前言 人类与疾病的抗争史,是一部不断自我超越的史诗。 正如医学的进步从未让病毒消亡,数字世界的安全防御也始终在与漏洞风险进行着一场永恒的博弈 ——安全从业者如同数字世界的「免疫系统」,在浩瀚数字世界中筛查病灶(漏洞感知)、合成抗体(漏洞修复)、构建防线(风险处置),周而复始地维系着企业数字机体的健康
继续阅读2024漏洞风险启示录:在攻防的螺旋中寻找【治愈】之道
2024漏洞风险启示录:在攻防的螺旋中寻找【治愈】之道 云鼎实验室 2025-02-28 09:31 前言 人类与疾病的抗争史,是一部不断自我超越的史诗。 正如医学的进步从未让病毒消亡,数字世界的安全防御也始终在与漏洞风险进行着一场永恒的博弈 ——安全从业者如同数字世界的「免疫系统」,在浩瀚数字世界中筛查病灶(漏洞感知)、合成抗体(漏洞修复)、构建防线(风险处置),周而复始地维系着企业数字机体的健
继续阅读Auto SSRF BurpSuite自动化SSRF漏洞探测插件
Auto SSRF BurpSuite自动化SSRF漏洞探测插件 云梦DC 云梦安全 2025-02-28 00:48 Auto SSRF简介 Auto-SSRF是一款基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件, 捕获BurpSuite 流经Passive Audit、Proxy、Repeater的流量进行SSRF漏洞探测分析。 运行原理 捕获参数中存在URL链接特征的
继续阅读分布式自动化信息收集、漏洞扫描-V1.6
分布式自动化信息收集、漏洞扫描-V1.6 渗透安全HackTwo 2025-02-27 16:00 网-址 • 官网:https://www.scope-sentry.top• Github: https://github.com/Autumn-27/ScopeSentry• 插件市场:https://plugin.scope-sentry.top• 更新说明:https://www.scope-
继续阅读创宇安全智脑 | NUUO 网络录像机 handle_site_config.php 远程命令执行等67个漏洞可检测
创宇安全智脑 | NUUO 网络录像机 handle_site_config.php 远程命令执行等67个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-02-27 09:10 创宇安全智脑是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和
继续阅读漏洞分析 | Apache SkyWalking从SQL注入到RCE
漏洞分析 | Apache SkyWalking从SQL注入到RCE 原创 杂七 杂七杂八聊安全 2025-02-27 05:38 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把 杂七杂八聊安全“ 设为星标”, 否则可能就看不到了啦~ 0x01 H2db的命令执行 0x01.1 环境搭建 从 http://www.h2database.com/html/download.html 下
继续阅读一个挖掘权限类漏洞的神器
一个挖掘权限类漏洞的神器 迪哥讲事 2025-02-26 12:51 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 分享一个挖越权漏洞的好手,居家渗透必备的burp插件,测试未授权,越权咔咔牛逼。 2 Action 这是
继续阅读记一次“安全扫描工具联动”自动化扫描漏洞流程
记一次“安全扫描工具联动”自动化扫描漏洞流程 点击关注👉 马哥网络安全 2025-02-22 09:00 假如你在一次攻防演练或者渗透测试中有多个攻击测试目标,一个一个去手动测试是肯定不现实的,可以先借助安全扫描工具去“自动扫描测试目标站点”的薄弱漏洞的位置,为你后续的深入测试提供事半功倍的效果。 前言:随着当前网络安全威胁的不断扩展与升级,开展渗透测试工作已经成为众多组织或公司主动识别安全漏洞与
继续阅读基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件|漏洞探测
基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件|漏洞探测 漏洞挖掘 渗透安全HackTwo 2025-02-20 16:00 0x01 工具介绍 JAuto-SSRF是一款基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件, 捕获BurpSuite 流经Passive Audit、Proxy、Repeater的流量进行SSRF漏洞探测分析。注意:现在只对
继续阅读springboot actuator漏洞总结
springboot actuator漏洞总结 原创 珂字辈 珂技知识分享 2025-02-20 10:00 一、 环境搭建 https://github.com/LandGrey/SpringBootVulExploit https://github.com/threedr3am/learnjavabug/tree/master/spring/spring-boot-actuator-bug 其
继续阅读创宇安全智脑 | 科立讯指挥调度管理平台 set_extension_status.php SQL注入等88个漏洞可检测
创宇安全智脑 | 科立讯指挥调度管理平台 set_extension_status.php SQL注入等88个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-02-20 09:20 创宇安全智脑是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃
继续阅读Sliver C2 SSRF 漏洞分析
Sliver C2 SSRF 漏洞分析 独眼情报 2025-02-20 07:23 摘要 Sliver C2 是一个开源的跨平台对抗模拟/红队框架,被红队和威胁行为者广泛使用。在审计代码过程中,我发现了一个漏洞:攻击者可以在团队服务器上打开一个指向任意 IP/端口的 TCP 连接,并通过该 socket 读写流量(这是一种强大的 SSRF 形式)。利用这个漏洞可能导致: – 泄露位于
继续阅读【漏洞处置SOP】Python安全漏洞(CVE-2019-9636、CVE-2023-24329)
【漏洞处置SOP】Python安全漏洞(CVE-2019-9636、CVE-2023-24329) 原创 SSS 方桥安全漏洞防治中心 2025-02-19 09:01 01 SOP基本信息 SOP名称:Python安全漏洞(CVE-2019-9636、CVE-2023-24329)处置标准作业程序(SOP) 版本:1.0 发布日期:2024-12-20 作者:just4fun 审核人:T小组 修
继续阅读JAVA代审-publiccms_V4_2024_6
JAVA代审-publiccms_V4_2024_6 原创 C@ig0 菜狗安全 2025-02-19 02:13 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 前言 本篇文章首发在先知社区,作者C@i
继续阅读软件供应链攻击:一次价值50,500美元的重大漏洞发现
软件供应链攻击:一次价值50,500美元的重大漏洞发现 原创 安全小白团译文 安全小白团 2025-02-17 00:31 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 引言 安全小白团 2021 年,我还在进攻性安全领域的早期阶段。虽然我已经成功入侵了几家公司,并通过漏洞赏金狩猎(Bug Bounty Hunting)
继续阅读逻辑漏洞挖掘思路与总结
逻辑漏洞挖掘思路与总结 计算机与网络安全 2025-02-16 23:57 资料列表: https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ 逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞,在实际开发中,因为开发者水平不一,没有安全意识,而且业务发展迅速,内部测试没有及时到位,所以常常会出现类似的漏洞,导致攻击者可以修改、绕过或者中断整个程序,让程序按
继续阅读Meta支付230万美元的漏洞赏金,美一检察长办公室遭网络攻击
Meta支付230万美元的漏洞赏金,美一检察长办公室遭网络攻击 祺印说信安 2025-02-16 23:50 Facebook 母公司 Meta 表示,作为 2024 年漏洞赏金计划的一部分,它向安全研究人员发放了超过 230 万美元的奖励。 该公司去年收到了近 10,000 份漏洞报告,其中约 600 份符合赏金条件。该公司表示,近 200 名研究人员获得了奖励。 自 2011 年以来,Meta
继续阅读通过供应链发起的RCE攻击
通过供应链发起的RCE攻击 迪哥讲事 2025-02-15 21:31 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/3936 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 依赖项混乱是一种软件供应链漏洞,
继续阅读基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件
基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件 黑白之道 2025-02-15 01:26 工具介绍 Auto-SSRF是一款基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件, 捕获BurpSuite 流经Passive Audit、Proxy、Repeater的流量进行SSRF漏洞探测分析。 运行原理 捕获参数中存在URL链接特征的请求
继续阅读一款基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件
一款基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件 banchengkemeng 无影安全实验室 2025-02-14 13:16 免责声明: 本篇文章仅用于技术交流, 请勿利用文章内的相关技术从事非法测试 , 由于传播、利用本公众号无影安全 实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责
继续阅读2025年2月微软补丁日多个高危漏洞安全风险通告
2025年2月微软补丁日多个高危漏洞安全风险通告 嘉诚安全 2025-02-13 00:29 漏洞背景 近日,嘉诚安全监测到Microsoft官方发布了2月份的安全更新公告,共修复了63个漏洞,修复了Windows 辅助功能驱动程序、Windows 存储服务、Windows 轻量级目录访问协议服务等产品中的漏洞。 鉴于漏洞危害较大,嘉诚安全提醒广大Microsoft用户尽快下载补丁更新,避免引发漏
继续阅读从云服务器 SSRF 漏洞到接管你的阿里云控制台
从云服务器 SSRF 漏洞到接管你的阿里云控制台 迪哥讲事 2025-02-12 13:31 文章首发于: 火线Zone社区(https://zone.huoxian.cn/) 0x00 前言 本文将以阿里云为例,对云服务中的一些攻防手法进行演示,首先利用 Terraform 进行 ECS SSRF 漏洞环境的搭建,然后通过实例中存在的 SSRF 漏洞一步步拿下该云服务账户的所有的阿里云服务权限。
继续阅读博客更新:SSRF漏洞详细讲解(多个实验场景复现),别再SSRF文件下载了
博客更新:SSRF漏洞详细讲解(多个实验场景复现),别再SSRF文件下载了 Patrick.Lin SecurePulse 2025-02-12 10:38 文章地址:https://www.securepulse.website/archives/ssrflou-dong-xiang-jie 关注公众号,及时获取博客更新信息
继续阅读微软2月补丁日多个产品安全漏洞风险通告:2个在野利用、4个紧急漏洞
微软2月补丁日多个产品安全漏洞风险通告:2个在野利用、4个紧急漏洞 奇安信 CERT 2025-02-12 01:01 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年2月补丁日多个产品安全漏洞 影响产品 Windows 辅助功能驱动程序、Windows 存储服务、Windows 轻量级目录访问协议服务等。 公开时间 2025-02-12 影响对象数量级 千万级
继续阅读Java代码审计 || 通过某博客系统实战学习一个有趣的 SSRF 漏洞分析
Java代码审计 || 通过某博客系统实战学习一个有趣的 SSRF 漏洞分析 实战安全研究 2025-02-12 01:00 嗨,大家好,这里是闪石星曜CyberSecurity。 我是你们的老朋友润霖。 今天通过 Halo 博客系统给大家讲讲在 JavaWeb 中 SSRF 漏洞分析。 如果大家想系统入门学习 Java代码审计,欢迎报名我的课程,五十多节课,平均一小时,20+企业级实战项目,低至
继续阅读【burpsuite靶场-服务端】XXE注入漏洞
【burpsuite靶场-服务端】XXE注入漏洞 原创 underatted 泷羽Sec-underatted安全 2025-02-11 07:42 XML外部实体(XXE)注入 在本节中,我们将解释什么是 XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种 XXE 注入,并总结如何防止 XXE 注入攻击。 1. 什么是XML外部实体注入? XML外部实体注入(也称为XXE)是一个 W
继续阅读