漏洞预警 | 朗速ERP SSRF漏洞
漏洞预警 | 朗速ERP SSRF漏洞 浅安 浅安安全 2025-01-13 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 朗速ERP是一款由朗速科技推出的企业资源计划软件,旨在帮助企业实现资源的高效管理和全面优化。 0x03 漏洞详情 漏洞类型: SSRF 影响: 上传恶意文件**** 简述: 朗速ERP的/Api/UEd
继续阅读标签: SSRF
SSRF 漏洞自动化 寻找
SSRF 漏洞自动化 寻找 真爱和自由 迪哥讲事 2025-01-12 13:40 环境搭建 下载项目https://github.com/l4yn3/micro_service_seclab 然后放入 IDEA 即可,之后运行 这里主要研究 SSRFSSRF 的漏洞代码 但是这个不太明显我修改了一下这样更好观察 成功 漏洞分析 我们首先需要看明白造成 SSRF 漏洞的类型 HttpURLConn
继续阅读渗透案例:巧用JS挖掘“宝藏”
渗透案例:巧用JS挖掘“宝藏” 原创 XavierRoot X的碎碎念 2025-01-09 16:53 声明:本文纯属虚构,如有雷同纯属巧合。 背景 一个寻常的工作日,小X 收到任务对 A 集团某系统进行渗透测试,但是不能用自己电脑,需要远控客户电脑进行测试。(因此,以下内容配图都不是原图, 尽量还原, 都是虚构的) 连上客户电脑,简单看了下环境,还好,是有Burpsuite的,不算天崩开局。B
继续阅读2024年零日漏洞攻击的七大演变趋势
2024年零日漏洞攻击的七大演变趋势 sec0nd安全 2025-01-09 15:35 本文阅读大约需要10分钟; 未修复的漏洞一直是攻陷企业系统的关键手段。然而,围绕某些零日漏洞的攻击活动所呈现的趋势,更值得网络安全团队警惕。2024年,零日漏洞的数量再次大幅增长。由于没有可用的补丁,零日漏洞让攻击者在网络安全防御团队面前占据了先机,成为攻击企业系统的强大武器。虽然所有零日漏洞都值得首席信息安
继续阅读从低危Blind SSRF到严重漏洞
从低危Blind SSRF到严重漏洞 白帽子左一 白帽子左一 2025-01-09 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) SSRF简介 服务器端请求伪造(SSRF)是一种Web安全漏洞,它允许攻击者使服务器端应用程序向非预期的位置发送请求。这可能导致攻击者迫使服务器连接到组织内部基础设施中仅限内部访问的
继续阅读0day漏洞无处遁形:大模型安全挖洞实践
0day漏洞无处遁形:大模型安全挖洞实践 腾讯技术工程 2025-01-08 01:15 作者:腾讯啄木鸟团队 1. 序章之《白帽寓言》 我本是一名普通的小白帽,有一天上班路上,遇到了位神秘老者,他拦住我,问道:小伙子,你是做什么的? 我大声回答:我是挖洞的! 老者摸着胡须,目光炯炯望着我:刚刚我看路边有人弄丢了几把铲子,想必是你弄丢的,那让我来考考你,你丢的是这把金铲子,还是这把银铲子呢? 我说
继续阅读Web安全进阶|Web漏洞分析与防范实战
Web安全进阶|Web漏洞分析与防范实战 IT阅读排行榜 Z2O安全攻防 2025-01-07 12:01 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这
继续阅读如何将低危的 SSRF 盲注升级为严重漏洞
如何将低危的 SSRF 盲注升级为严重漏洞 Z2O安全攻防 2025-01-06 14:16 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 简介 今天分享国外白帽Amr Mustafa如何利用 SSRF 盲注发现和利用关键漏洞的经验。 什么是SSRF? 服务器端请求伪造(SSRF)是一
继续阅读大华智能物联综合管理平台RCE远程代码执行漏洞-影响资产8000+| 漏洞预警
大华智能物联综合管理平台RCE远程代码执行漏洞-影响资产8000+| 漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2025-01-03 16:00 0x01 产品简介 大华智能物联综合管理平台,作为浙江大华技术股份有限公司推出的一款集成了多项业务管理功能的平台软件,该平台主要面向智能园区、商业综合体等多种应用场景,旨在提供一个全面、高效的解决方案,为客户提供一套集成、
继续阅读当黑客那些年之帐户接管系列漏洞-案例一斩获1000$
当黑客那些年之帐户接管系列漏洞-案例一斩获1000$ 迪哥讲事 2025-01-03 15:27 当黑客那些年之帐户接管系列漏洞-案例一斩获1000$ 这篇文章将介绍作者在 Hackerone 的私人项目中发现的一个漏洞,该漏洞允许我接管任何用户的账户。 在开始之前,我想先提供一些关于 Host 头的小基础知识。 什么是 HTTP Host 头? HTTP Host 头是 HTTP/1.1 中的必
继续阅读Web漏洞分析与防范实战丨从”脚本小子”迈向”研究员”的第一步
Web漏洞分析与防范实战丨从”脚本小子”迈向”研究员”的第一步 蚁景网络安全 2025-01-03 09:03 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等
继续阅读Web安全进阶:漏洞分析与防范实战技巧
Web安全进阶:漏洞分析与防范实战技巧 IT阅读排行榜 亿人安全 2025-01-03 08:29 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景
继续阅读【文末抽奖】看完这篇《Web漏洞分析与防范实战》成为Web大神!
【文末抽奖】看完这篇《Web漏洞分析与防范实战》成为Web大神! 落寞的魚丶 鱼影安全 2025-01-03 08:18 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大
继续阅读文件读取漏洞实战利用
文件读取漏洞实战利用 WIN哥学安全 2025-01-03 06:50 点击上方蓝字关注我们 申明:文章仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关。 本文由subjcw师傅发表在奇安信攻防社区 文章地址:https://forum.butian.net/share/4017 Nginx配置文件利用 第一处文件读取,严
继续阅读指导手册 | Web漏洞分析与防范实战
指导手册 | Web漏洞分析与防范实战 新书速递→ WK安全 2025-01-03 00:51 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景下,
继续阅读【渗透书籍推荐】《Web漏洞分析与防范实战》丨文末参与抽奖免费赠书!!
【渗透书籍推荐】《Web漏洞分析与防范实战》丨文末参与抽奖免费赠书!! 新书速递→ 网络安全007 2025-01-03 00:01 文末扫码参与抽奖! 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全
继续阅读赏金$3133的漏洞
赏金$3133的漏洞 迪哥讲事 2025-01-02 15:41 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任 背景介绍 某一天悠闲的午后,白帽小哥Atikqur坐在办公桌前,在 Google Slides 上准备着一场活动的演讲稿。 幻灯片准备好后,开始点击演示者视图来预览它们,由于白
继续阅读【活动】你没看错,通用漏洞全年3倍奖励!
【活动】你没看错,通用漏洞全年3倍奖励! 原创 邀您全年专测的 京东安全应急响应中心 2025-01-02 12:00 2025 JSRC白帽成长体系 奖励已上线! 快去JSRC官网看看,你是什么等级守卫? 🐍 蛇年新气象,开工大吉!🐍 🚀 活动风暴,即刻来袭!🚀 🌟 三倍惊喜,全年狂欢! 🌟 2025JSRC下血本啦! 活动时间 2025年1月2日 20:00 – 12月31日 24
继续阅读新书推荐《Web漏洞分析与防范实战》
新书推荐《Web漏洞分析与防范实战》 Web安全工具库 2025-01-02 08:32 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景下,网络安
继续阅读研究漏洞方法指南 | Web漏洞分析与防范实战
研究漏洞方法指南 | Web漏洞分析与防范实战 新书速递→ 湘安无事 2025-01-02 08:28 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的
继续阅读漏洞预警 | 蓝凌OA SSRF漏洞
漏洞预警 | 蓝凌OA SSRF漏洞 浅安 浅安安全 2025-01-02 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 蓝凌OA是由深圳市蓝凌软件股份有限公司开发,是一款针对中小企业的移动化智能办公产品。 0x03 漏洞详情 漏洞类型: SSRF 影响: 获取敏感信息 简述: 蓝凌OA的/sys/webservice/sy
继续阅读【安全圈】捷某网络云平台漏洞曝光:50000 台设备面临远程攻击风险
【安全圈】捷某网络云平台漏洞曝光:50000 台设备面临远程攻击风险 安全圈 2025-01-01 11:00 关键词 漏洞 网络安全研究人员近期发现,由某捷网络开发的云管理平台存在多个高危安全漏洞,可能使攻击者能够远程接管网络设备。根据 Claroty 安全研究团队的 Noam Moshe 和 Tomer Goldschmidt 的最新分析报告,这些漏洞不仅影响 Reyee 云平台,还波及 Re
继续阅读53套.NET系统漏洞威胁情报(12.31更新)
53套.NET系统漏洞威胁情报(12.31更新) 专攻.NET安全的 dotNet安全矩阵 2024-12-31 00:28 53 某速ERP系统文件上传漏洞 53.1 漏洞概述 某 速ERP管理系统File.ashx存在任意文件上传漏洞 POST /Api/File**.ashx?method=**Upload HTTP/1.1Host: User-Agent: Mozilla/5.0 (Mac
继续阅读警惕!锐捷网络云平台曝严重漏洞,全球约 5 万台设备或遭远程控制!
警惕!锐捷网络云平台曝严重漏洞,全球约 5 万台设备或遭远程控制! 原创 Hankzheng 技术修道场 2024-12-31 00:00 【利用弱密码恢复、SSRF、危险函数等漏洞,黑客可发动“Open Sesame”攻击,获取设备序列号,进而控制整个网络!】 近日,网络安全研究人员发现锐捷网络 开发的云管理平台存在多个安全漏洞,攻击者可以利用这些漏洞控制接入该平台的网络设备 。 Claroty
继续阅读Springboot未授权之httptrace和logfile的实战利用
Springboot未授权之httptrace和logfile的实战利用 迪哥讲事 2024-12-30 12:30 声明:该公众号大部分文章来自作者日常学习笔记,未经授权,严禁转载,如需转载,联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 0x00 前言 相信大家在很多项目中,不论是渗透测试还是攻防演练中都遇到过很多spring
继续阅读锐捷网络云平台漏洞可能使 50,000 台设备遭受远程攻击
锐捷网络云平台漏洞可能使 50,000 台设备遭受远程攻击 Rhinoer 犀牛安全 2024-12-30 10:09 网络安全研究人员发现锐捷网络开发的云管理平台存在多个安全漏洞,可能允许攻击者控制网络设备。 Claroty 研究人员 Noam Moshe 和 Tomer Goldschmidt 在最近的分析中表示:“这些漏洞既影响 Reyee 平台,也影响 Reyee OS 网络设备。如果这些
继续阅读漏洞分析 | Apache SkyWalking SQL注入漏洞分析
漏洞分析 | Apache SkyWalking SQL注入漏洞分析 原创 杂七 杂七杂八聊安全 2024-12-30 03:36 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把 杂七杂八聊安全“ 设为星标”, 否则可能就看不到了啦~ 0x01 熟悉Graphql 0x01.1 Graphql环境搭建 通过springboot搭建graphql环境,pom .xml内容如下: 其中
继续阅读锐捷云管理平台曝严重漏洞:可从云端劫持WiFi热点
锐捷云管理平台曝严重漏洞:可从云端劫持WiFi热点 网安百色 2024-12-27 11:40 点击上方 蓝字 关注我们吧~ 近日,网络安全研究人员在 锐捷网络 的云管理平台中发现多个严重漏洞,这些漏洞可能使攻击者全面控制网络设备,进而对企业和个人用户的网络安全构成重大威胁。 从云端入侵WiFi接入点 来自工控安全公司Claroty的研究人员NoamMoshe和Tomer Goldschmidt指
继续阅读价值$3000的Google Slides IDOR漏洞
价值$3000的Google Slides IDOR漏洞 芳华绝代安全团队 2024-12-27 08:05 2024年最后一波招生——玲珑安全技能提升班 <-点击查看 关注公众号,阅读优质好文。 正文 某天下午,我在办公室用 Google Slides 制作演讲用的幻灯片。幻灯片完成后,我点击了“演示者视图”来预览。在活动期间,我计划与观众进行实时问答,于是上网查找 Google Slid
继续阅读