漏洞扫描 · 详解
漏洞扫描 · 详解 原创 洁说安全 网络安全和等保测评 2025-02-18 23:05 漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。以下是关于漏洞扫描的详细介绍: 漏洞扫描的类型 网络漏洞扫描 主要针对网络设备和网络服务进行扫描,通过发送特定的网络数据包,检测目标系统开放的端口、运行的服务以及可能存在
继续阅读标签: vx
黑客批量售卖多国VPN权限:漏洞利用+社会工程威胁多国关键行业
黑客批量售卖多国VPN权限:漏洞利用+社会工程威胁多国关键行业 原创 网空闲话 网空闲话plus 2025-02-18 22:46 2月19日监测发现,暗网论坛上出现大量VPN访问权限售卖帖子,发帖者“miyak0”在短时间内发布了24条涉及多个国家和地区的VPN权限出售信息,涵盖西班牙、沙特、阿联酋、中国及香港等地的政府机构、国防承包商、金融服务、能源、物流、电信等多个关键行业。这些权限的价格从
继续阅读漏洞预警 用友 UFIDA NC portal/pt/office/checkekey 接口存在 SQL 注入漏洞
漏洞预警 用友 UFIDA NC portal/pt/office/checkekey 接口存在 SQL 注入漏洞 2025-2-18更新 南风漏洞复现文库 2025-02-18 22:12 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1
继续阅读快排CMS-后台XSS漏洞
快排CMS-后台XSS漏洞 原创 骇客安全 骇客安全 2025-02-18 18:00 漏洞描述 快排CMS 后台存在XSS漏洞,通过后台构造特殊语句可以造成访问网站的用户被XSS影响 漏洞影响 快排 CMS <= 1.2 环境搭建 https://gitee.com/qingzhanwang/kpcms 漏洞复现 漏洞出现在登录后台的网站编辑的位置,由于没有对输出的字符进行过滤,导致XSS
继续阅读APP渗透测试 — 支付逻辑漏洞
APP渗透测试 — 支付逻辑漏洞 Web安全工具库 2025-02-18 16:01 本套课程在线学习(网盘地址,保存即可免费观看)地址: 扫描二维码 免费下载观看 链接:https://pan.quark.cn/s/aeb06a7dd9cc 00:03 – 支付逻辑漏洞的检测与利用风险 本次讨论聚焦于支付逻辑漏洞的危害及测试方法。支付逻辑漏洞在业务场景中可能导致企业财务损
继续阅读安全设计警报:消除缓冲区溢出漏洞
安全设计警报:消除缓冲区溢出漏洞 祺印说信安 2025-02-18 16:01 恶意网络攻击者利用缓冲区溢出漏洞破坏软件 注意:此安全设计警报是正在进行的系列警报的一部分,旨在推进全行业的最佳实践,以消除产品生命周期设计和开发阶段的所有漏洞类别。安全设计计划旨在促进整个技术行业的文化转变,规范开发开箱即用的安全产品。访问cisa.gov了解有关安全设计原则的更多信息,签署安全设计承诺,并随时了解最
继续阅读APP渗透测试 — 文件上传漏洞
APP渗透测试 — 文件上传漏洞 网络安全者 2025-02-18 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: 链接:https://pan.quark.cn/s/67633ca6f26e 00:00 – 文件上传漏洞的防范措施 讨论了文件上传功能在许多APP和网站中的常见应用,以及如果对上传内容过滤不严可能导致的安全问题。从开发的角度,文件上传漏洞的
继续阅读备案查询、空间测绘、漏洞测试、编码及加解密工具 — MoonLight
备案查询、空间测绘、漏洞测试、编码及加解密工具 — MoonLight MKID1412 网络安全者 2025-02-18 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自
继续阅读【漏洞预警】ChurchCRM系统中通过EditEventTypes.php文件的newCountName参数进行SQL注入漏洞
【漏洞预警】ChurchCRM系统中通过EditEventTypes.php文件的newCountName参数进行SQL注入漏洞 cexlife 飓风网络安全 2025-02-18 13:05 漏洞描述: 在ChurсhCRM5.13.0及之前的版本中存在一个漏洞,允许攻击者通过利用EditEvеntTуреѕ功能中基于时间的盲SQL注入漏洞来执行任意SQL查询,nеԝCоuntNаmе参数未经适
继续阅读无休止的漏洞:macOS 漏洞被利用九次
无休止的漏洞:macOS 漏洞被利用九次 Ots安全 2025-02-18 12:12 这是我在OBTS v7.0会议上的演讲的博客文章。幻灯片已上传到这里。 苹果必须发布多少个补丁才能真正修复漏洞?答案是“随风飘荡”。🙈 我在 macOS 的PackageKit框架中发现了一个有趣的逻辑漏洞,该漏洞允许将权限提升到root,绕过透明度同意和控制(TCC),以及绕过系统完整性保护(SIP)。 很难
继续阅读【漏洞预警】Cisco Meeting Management客户端-服务器权限提升漏洞
【漏洞预警】Cisco Meeting Management客户端-服务器权限提升漏洞 原创 MasterC 企业安全实践 2025-02-18 12:07 一、漏洞描述 Cisco Meeting Management的REST API中存在一个漏洞,可允许经过身份验证且具有低权限的远程攻击者在受影响的设备上将权限提升为管理员。存在此漏洞的原因是未对 REST API用户实施适当的授权。攻击者可
继续阅读常见WEB漏洞—SQL 注入
常见WEB漏洞—SQL 注入 网安探索员 网安探索员 2025-02-18 12:02 SQL 注入(SQL Injection)是一种常见的 Web 应用程序安全漏洞,黑客通过在输入字段中插入恶意 SQL 代码,操纵数据库查询,从而窃取、篡改或删除数据,甚至控制整个数据库系统。以下是 SQL 注入漏洞的总结: 1. 原理 漏洞根源 :应用程序未对用户输入进行严格的验证和过滤,直接将输入拼接到 S
继续阅读ChatGPT Operator 遭提示注入攻击,泄露用户隐私数据
ChatGPT Operator 遭提示注入攻击,泄露用户隐私数据 AI小蜜蜂 FreeBuf 2025-02-18 11:10 OpenAI 为 ChatGPT Pro 用户打造的前沿研究预览工具 ChatGPT Operator,近来因一个严重漏洞引发关注。该漏洞可通过提示注入攻击,致使敏感个人数据面临泄露风险。 ChatGPT Operator 是一款功能强大的先进 AI 代理,具备网页浏览
继续阅读【安全圈】俄罗斯黑客利用 7-Zip 零日漏洞攻击乌克兰
【安全圈】俄罗斯黑客利用 7-Zip 零日漏洞攻击乌克兰 安全圈 2025-02-18 11:01 关键词 网络攻击 据趋势科技报道,俄罗斯威胁组织利用 7-Zip 归档工具中的零日漏洞对乌克兰政府实体开展了网络间谍活动。 该漏洞编号为 CVE-2025-0411(CVSS 评分为 7.0),于 2024 年 9 月被发现,并于两个月后在 7-Zip 版本 24.09 中得到修补。 该漏洞被描述为
继续阅读VeraCore 两个0day漏洞被用于实施供应链攻击
VeraCore 两个0day漏洞被用于实施供应链攻击 Rob Wright 代码卫士 2025-02-18 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员在仓库管理软件平台 VeraCore 中发现了两个遭活跃利用的0day漏洞。Intezer 和 Solis Security 公司的安全研究员发现网络犯罪团伙 XE Group 利用这两个漏洞,早在2020年就攻陷制
继续阅读美国政府:开发人员应停止制造“不可原谅的”缓冲溢出漏洞
美国政府:开发人员应停止制造“不可原谅的”缓冲溢出漏洞 Jessica Lyons 代码卫士 2025-02-18 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国政府将缓冲溢出漏洞称为“不可原谅的缺陷”,提到微软、VMware 等公司产品中存在此类漏洞,督促所有软件开发人员采用设计即安全实践,避免制造更多缓冲溢出漏洞。 当软件异常将多余所分配的数据写入内存存储时,就会发生缓
继续阅读埃隆·马斯克的政府网站漏洞曝光,黑客留下嘲讽信息
埃隆·马斯克的政府网站漏洞曝光,黑客留下嘲讽信息 原创 HackerNews 安全威胁纵横 2025-02-18 09:34 埃隆・马斯克的政府效率部(DOGE)网站被曝出重大安全漏洞, 网站使用不安全的外部数据库, 导致任何未经授权的用户都可以直接修改内容。 埃隆·马斯克 的 政府效率部(DOGE) 推出的一个网站被发现存在重大安全漏洞,允许未经授权的用户 直接修改其内容 。 这一漏洞由两名网络
继续阅读网络安全动态 – 2025.02.18
网络安全动态 – 2025.02.18 Sugar Delta Insights 2025-02-18 09:30 网络安全动态 — Cyber Daily 2025.02.18 警惕:仿冒 DeepSeek 官方 App 的手机木马病毒被捕获 关键词:仿冒App AI 木马病毒 2025年02月17日报道。国家计算机病毒应急处理中心捕获了一种仿冒国产人工智能大模型“Dee
继续阅读【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?
【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些? 原创 醉墨离 泷羽Sec-醉陌离 2025-02-18 09:29 🌟【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?🔐 刚入门网络安全?别慌!用点外卖都能看懂的比喻,带你轻松掌握高危漏洞原理!(文末送新手工具包) 🍔 Top1 注入攻击:像篡改外卖订单的”加料黑客”
继续阅读雷神众测漏洞周报2024.2.10-2024.2.16
雷神众测漏洞周报2024.2.10-2024.2.16 原创 雷神众测 雷神众测 2025-02-18 09:15 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读安全简讯(2025.02.18)
安全简讯(2025.02.18) 启明星辰安全简讯 2025-02-18 08:48 1. 马斯克DOGE计划陷网络安全危机,政府效率部网站遭黑客曝光漏洞 2月14日,科技亿万富翁埃隆·马斯克管理的政府效率部(DOGE)旨在削减联邦开支并提升政府效率,然而,其新创建的DOGE.gov网站却因网络安全措施松懈而面临重大风险。黑客指出,该网站存在严重安全漏洞,任何人都能访问并编辑存储的信息。网站似乎匆
继续阅读CVSS评分9.8!亚信安全率先发现大模型关联Ray架构高危漏洞
CVSS评分9.8!亚信安全率先发现大模型关联Ray架构高危漏洞 亚信安全 亚信安全 2025-02-18 08:18 近日,亚信安全人工智能实验室率先发现,广泛应用的大模型分布式部署的架构Ray,存在未授权命令执行漏洞,并第一时间上报国家信息安全漏洞共享平台(CNVD-2024-47463),及通用漏洞披露平台(CVE-2024-57000)。CVE官方对该漏洞进行了通用漏洞评分系统(CVSS)
继续阅读快排CMS-Socket.php-日志信息泄露漏洞
快排CMS-Socket.php-日志信息泄露漏洞 原创 骇客安全 骇客安全 2025-02-18 07:43 runtime/log/202104/06.log 其中可以看到泄露了管理员的Cookie信息和其他敏感信息 并且文件命名为 年+月/日期.log 这里关注后台的日志文件中的 admin.php页面的cookie就可以获得管理员权限
继续阅读【漏洞与预防】远程代码执行漏洞预防
【漏洞与预防】远程代码执行漏洞预防 原创 solarsec solar应急响应团队 2025-02-18 07:00 1.典型案例 本次案例参考去年6月期间TellYouThePass勒索病毒家族常用的攻击手法,具体详情可参考【紧急警示】Locked勒索病毒利用最新PHP远程代码执行漏洞大规模批量勒索!文末附详细加固方案 2.场景还原 2.1场景设置 攻击者利用CVE-2024-4577远程代码执
继续阅读不要只卷Web安全,硬件安全值得推荐
不要只卷Web安全,硬件安全值得推荐 WIN哥学安全 2025-02-18 06:53 关注我们丨文末赠书 近年来,国家出台了一系列政策、安全标准和规范来支持网络安全产业发展,强调加强网络安全体系保障与能力建设, 要求企业加强硬件设备的安全防护措施,确保设备的安全性和可靠性。同时,数字化转型持续加速,国产化信息技术创新软硬件产品逐渐普及,各行业企业不断扩大硬件安全领域投入。2024年中国网络安全硬
继续阅读【安全研究】如何用 DeepSeek AI 去跟进最新的CVE漏洞研究
【安全研究】如何用 DeepSeek AI 去跟进最新的CVE漏洞研究 原创 Mstir 星悦安全 2025-02-18 06:22 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 众所周知,CVE的最新漏洞往往是安全研究人员的一大乐趣,而CVE最新的漏洞的Github是发布在下方链接中的,每日都会更新最新漏洞及全部的CVE漏洞压缩包.https://github.com/CVEProje
继续阅读SonicWall防火墙认证绕过漏洞正遭大规模利用
SonicWall防火墙认证绕过漏洞正遭大规模利用 邑安科技 邑安全 2025-02-18 04:22 更多全球网络安全资讯尽在邑安全 网络安全公司警告称,SonicWall防火墙中存在的一个严重认证绕过漏洞正在被积极利用,该漏洞编号为CVE-2024-53704 。2025年2月10日,随着Bishop Fox的研究人员公开发布了概念验证(PoC)漏洞利用代码,未修补设备组织面临的风险大大增加。
继续阅读同源策略漏洞初步学习
同源策略漏洞初步学习 原创 Caigensec 菜根网络安全杂谈 2025-02-18 04:05 点击标题下「蓝色微信名」可快速关注 免责声明:本文仅用于合法范围的学习交流,若使用者将本文用于非法目的或违反相关法律法规的行为,一切责任由使用者自行承担。请遵守相关法律法规,勿做违法行为!本公众号尊重知识产权,如有侵权请联系我们删除。 01 同源策略是什么意思 1、概念 同源策略是浏览器的一个安全功
继续阅读漏洞赏金实战分享 | 发现并利用开放的 SMB 服务
漏洞赏金实战分享 | 发现并利用开放的 SMB 服务 白帽子左一 白帽子左一 2025-02-18 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 大家好!这次我要分享的是在测试某个目标时,发现的 SMB 服务器配置错误及其利用过程。 img 服务器消息块(SMB) 是一种通信协议,用于在网络中的节点之间共享文件
继续阅读记一次src通杀漏洞挖掘
记一次src通杀漏洞挖掘 原创 zkaq – 98k 掌控安全EDU 2025-02-18 04:00 扫码领资料 获网安教程 本文由掌控安全学院 – 98k 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 这是我第一次写漏洞分享的文章,主要是最近跟着几个厉害的师傅一起学习,挖了几个比较简单的漏洞,今天拿
继续阅读