渗透实战 | 微信小程序EDUSRC渗透漏洞复盘
渗透实战 | 微信小程序EDUSRC渗透漏洞复盘 不秃头的安全 2025-02-09 23:21 微信小程序EDUSRC渗透漏洞复盘 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论, 严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。 还在学怎么挖通用漏洞和src吗?知识星球最后一次优惠,续费也有优惠私聊~~考证请加联系vx咨询 0x1 前言 哈喽,师傅们这次又来给师傅们分享
继续阅读标签: vx
CTFHub-RCE题目wp
CTFHub-RCE题目wp 原创 track 泷羽Sec-track 2025-02-09 17:47 引言 题目共有如下类型 什么是RCE漏洞 RCE漏洞,全称是Remote Code Execution 漏洞,翻译成中文就是远程代码执行 漏洞。顾名思义,这是一种安全漏洞,允许攻击者在受害者的系统上远程执行任意代码 eval执行 分析源码: <?php if (isset($_REQU
继续阅读记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧
记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧 漏洞挖掘投稿 渗透安全HackTwo 2025-02-09 16:01 0x01 前言 在对某SRC分发平台进行渗透测试时,发现其后台管理系统存在安全漏洞。通过分析前端源码,发现了一个潜在的任意文件读取漏洞,并成功利用该漏洞获取了服务器的敏感信息,最终实现了从任意文件读取到获取服务器权限的全过程。 现在只对常读和星标的公
继续阅读APP渗透测试 — 从代码讲逻辑漏洞
APP渗透测试 — 从代码讲逻辑漏洞 网络安全者 2025-02-09 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: 链接:https://pan.quark.cn/s/9a5f31d09414 00:03 – 探讨PHP程序中的逻辑漏洞问题 在本次课程中,首先介绍了使用PHP 1.6版本的程序,通过一个具体示例,详细讲解了后台逻辑漏洞的问题。具体来说,
继续阅读漏洞公开——从弱口令到通杀
漏洞公开——从弱口令到通杀 Z2O安全攻防 2025-02-09 15:41 No.1 起源 一切的一切,都源自于Sheen神挖到的那张CNVD…… 我羡慕得眼红,梦里都是证书,证书上都是我名字 可惜…梦醒了,我还是那个我,神还是那个神 不!我不能这样!我要拿证书!!!! 于是我打开了Edu SRC,目光锁定了最近上架的新证书——某学院的漏洞报送证书 No.2
继续阅读0到实战案例(CSRF漏洞)
0到实战案例(CSRF漏洞) sec0nd安全 2025-02-09 15:01 原理 用户登录目标网站 A 用户 C 在浏览器中访问 受信任网站 A,输入用户名和密码成功登录,网站 A 生成 Cookie 存储身份信息。 用户访问恶意网站 B 用户 C 没有退出网站 A,又在同一浏览器中打开另一个网页 网站 B(可能是钓鱼站点或被攻击者控制的页面)。 恶意网站 B 发送伪造请求 网站 B 含有攻
继续阅读【2025-02-09】黑客新闻摘要——黑客新招数!利用pickle文件漏洞,Hugging Face平台被攻陷?
【2025-02-09】黑客新闻摘要——黑客新招数!利用pickle文件漏洞,Hugging Face平台被攻陷? 知机安全 知机安全 2025-02-09 10:01 1. Hugging Face冒出两份恶意机器学习模型,巧妙利用pickle文件避开检测 网络安全研究人员在Hugging Face platform上发现了两份利用奇特的“损坏”pickle文件技术的恶意机器学习模型,这种策略被
继续阅读英国域名注册局 Nominet 确认遭 Ivanti VPN零日漏洞攻击
英国域名注册局 Nominet 确认遭 Ivanti VPN零日漏洞攻击 Rhinoer 犀牛安全 2025-02-09 09:44 Nominet 是 .UK 官方域名注册机构,也是最大的国家代码注册机构之一,该公司已确认其网络两周前遭 Ivanti VPN 零日漏洞攻击。 该公司管理和运营超过 1100 万个 .uk、.co.uk 和 .gov .uk 域名以及其他顶级域名,包括 .cymru
继续阅读实战如何通过Druid提升至高危漏洞
实战如何通过Druid提升至高危漏洞 实战安全研究 2025-02-09 09:06 免责声明 本公众号“猎洞时刻”旨在分享网络安全领域的相关知识,仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。 本公众号中提供的所有内容都是基于作者的经验和知识,并仅代表作者个人的观点和意见。这些观点和意见仅供参考,不构成任何形式的承诺或保证。 本公众号不对任何人因使用或依赖本公众号提供的信息、工具或技
继续阅读中信银行收罚单,因未及时处置数据安全漏洞风险等
中信银行收罚单,因未及时处置数据安全漏洞风险等 点击关注-> 安知讯 2025-02-09 08:55 《银行科技研究社》 : 近期,中国人民银行日照市分行发布的行政处罚信息显示,中信银行日照分行因“违反金融统计相关规定;未按规定履行客户身份识别义务;未及时处置数据安全漏洞风险;未制定网络安全事件应急预案”等4项违法行为,被警告,并被罚款54万元。 同时,时任中信银行日照分行零售银行部副总经
继续阅读朗速ERP FileUploadApi.ashx 任意文件上传漏洞
朗速ERP FileUploadApi.ashx 任意文件上传漏洞 Superhero nday POC 2025-02-09 08:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读【安全预警】万户ezoffice协同办公平台SignatureEditFrm存在SQL注入漏洞
【安全预警】万户ezoffice协同办公平台SignatureEditFrm存在SQL注入漏洞 hyuya 安全卫士小帮手 2025-02-09 04:36 来源:https://www.ddpoc.com/DVB-2024-8374.html 产商已修复,未更新补丁的请及时更新补丁,验证脚本和方式星球内自取
继续阅读【漏洞通告】Go Darwin 构建代码执行漏洞安全风险通告
【漏洞通告】Go Darwin 构建代码执行漏洞安全风险通告 嘉诚安全 2025-02-09 01:00 漏洞背景 近日,嘉诚安全监测到Go Darwin 构建代码执行漏洞,漏洞编号为: CVE-2025-22867。 Go(也称为 Golang)是由 Google 开发的开源编程语言,旨在提供高效、简洁和易于并发编程的功能。它具有垃圾回收、内存安全和强大的并发支持(goroutines)。Go
继续阅读快速上手渗透测试报告写作:从WP到甲方报告的一站式指南
快速上手渗透测试报告写作:从WP到甲方报告的一站式指南 原创 泷羽Sec-静安 泷羽Sec-静安 2025-02-08 22:01 关注公众号泷羽Sec-静安 ,回复关键词找工具+WP 获取本文分享的WP模板和工具 师傅们在渗透测试过程中肯定要写WP和报告,这里分享我个人关于怎么快速写出格式整齐,内容完整详细,方便后期复现回溯的WP或者称“渗透测试报告”的经验。 软件和工具 首先,记笔记的首选语言
继续阅读0026. 管理面板漏洞—访问罗技管理后台
0026. 管理面板漏洞—访问罗技管理后台 aman singh Rsec 2025-02-08 16:21 本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。 声明:本文搬运自国外互联网,如你是原作者,请联系我们! 标签:登录绕过 大家好,时隔许久,我又回来写一篇有趣的文章了。由于一些问题,今年我没有搜索过任何一款应用。希望一切很快好起来。所以,让我们不要浪费时间,赶紧开始吧! 图1
继续阅读人工智能和云漏洞并不是当今CISO 面临的唯一威胁
人工智能和云漏洞并不是当今CISO 面临的唯一威胁 铸盾安全 河南等级保护测评 2025-02-08 16:01 随着云基础设施以及最近的人工智能 (AI) 系统成为攻击者的主要目标,安全领导者正集中精力保护这些备受关注的领域。他们这样做也是正确的,因为网络犯罪分子转向新兴技术来发起和扩大越来越复杂的攻击。 然而,对新兴威胁的高度关注使得人们很容易忽视传统的攻击媒介,例如人为的社会工程学和物理安全
继续阅读【漏洞预警】JeecgBoot SQL注入漏洞
【漏洞预警】JeecgBoot SQL注入漏洞 cexlife 飓风网络安全 2025-02-08 13:58 漏洞描述: JеесɡBооt v.3.7.2中的SQL注入漏洞允许远程攻击者通过ɡеtTоtаlDаtа组件获取敏感信息。 影响产品及版本:JeecgBootv.3.7.2攻击场景:攻击者可能通过getTotalData组件上传恶意文件,获取敏感信息。修复建议:JeecgBoot官方发
继续阅读微软 Edge 存在允许攻击者执行远程代码漏洞
微软 Edge 存在允许攻击者执行远程代码漏洞 网安百色 2025-02-08 11:38 点击上方 蓝字 关注我们吧~ 微软已发布针对其 Edge 浏览器的关键安全更新,修复了多个漏洞,这些漏洞可能允许攻击者执行远程代码并危及用户系统。 在最新的 Microsoft Edge 版本(版本 133.0.3065.51,基于 Chromium 133.0.6943.53/54)中发现了四个重大漏洞:
继续阅读漏洞盒子助力 | 5悔向未来 五家SRC联合众测限时启动!
漏洞盒子助力 | 5悔向未来 五家SRC联合众测限时启动! 漏洞盒子VulBox 2025-02-08 11:16 度小满SRC 5岁啦! 因为热爱相遇 因为热爱坚持 生日爬梯 诚邀参与~ 「满」是热爱❤️ “5” 悔向未来!👋
继续阅读【安全圈】微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷
【安全圈】微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷 安全圈 2025-02-08 11:02 关键词 恶意软件 科技媒体 bleepingcomputer 昨日(2 月 6 日)发布博文,报道称微软发出示警,有攻击者正利用网上公开的 ASP.NET 静态密钥,通过 ViewState 代码注入攻击部署恶意软件。 微软威胁情报专家近期发现,一些开发者在软件开发中使用了
继续阅读CVE-2024-21413 (CVSS 9.8):严重 Outlook 漏洞正受到主动攻击,PoC 可用
CVE-2024-21413 (CVSS 9.8):严重 Outlook 漏洞正受到主动攻击,PoC 可用 Ots安全 2025-02-08 10:32 Microsoft Outlook 中一个严重漏洞(编号为 CVE-2024-21413)正在被广泛利用,对全球组织构成重大威胁。该漏洞的 CVSS 评分为 9.8(满分 10 分),攻击者只需打开恶意电子邮件即可远程执行任意代码。 该漏洞由 C
继续阅读UWB技术在汽车安全中的应用
UWB技术在汽车安全中的应用 谈思实验室 2025-02-08 10:20 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 01 数字钥匙的深度剖析 随着科技的不断进步,各种技术正在悄然改变我们的日常生活。为了真正造福人类,技术不仅要简单易用,还需要具备安全性、可靠性和可信性。在这些技术中,射频(RF)技术无疑已经渗透到我们的生活中,从家家户户的Wi-Fi网络到智能手机的蜂窝通信,再到蓝牙技术
继续阅读关于PAN-OS DoS(CVE-2024-3393)的研究
关于PAN-OS DoS(CVE-2024-3393)的研究 pz1o 看雪学苑 2025-02-08 09:59 前段时间Palo Alto发布了一项漏洞通告[1],看漏洞信息是PAN-OS数据平面处理流量时产生DoS,其实之前PAN-OS也有过这样的DoS漏洞。但令笔者好奇的是,这次居然会影响Prisma Access,这款产品是Palo Alto公司实现零信任的关键组件,遂准备花些时间去做一
继续阅读打开邮件即中招!Outlook高危漏洞曝光:黑客可远程执行代码
打开邮件即中招!Outlook高危漏洞曝光:黑客可远程执行代码 看雪学苑 看雪学苑 2025-02-08 09:59 美国网络安全和基础设施安全局(CISA)于2月7日发布公告,要求美国联邦机构在2月27日前完成系统补丁部署,以修复微软Outlook高危远程代码执行漏洞。该漏洞编号为CVE-2024-21413,由网络安全公司Check Point Research的安全专家Haifei Li在2
继续阅读招生中!系统0day安全-IOT设备漏洞挖掘(第6期)
招生中!系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-02-08 09:59 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。 然而,随着IoT设备的普及,安全问题也日益凸显。 IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureNexu
继续阅读正在报名中 | “网谷杯”信创应用软件网络安全攻防大赛
正在报名中 | “网谷杯”信创应用软件网络安全攻防大赛 赛查查 2025-02-08 09:43 赛事亮点: 专业指导:由国家计算机网络应急技术处理协调中心指导,权威认证。 实战化平台:VMCourse实践教育平台助力初赛,网络安全众测平台支撑决赛,技术资源全面开放。 国产化挑战:决赛靶标采用国产化软硬件环境,紧跟国家信创战略,挑战国产安全新高度。 顶尖团队竞技:邀请全国高等院校网络安全专业学子及
继续阅读Apache Calcite Avatica 远程代码执行 CVE-2022-36364
Apache Calcite Avatica 远程代码执行 CVE-2022-36364 原创 标准云 蚁景网络安全 2025-02-08 09:31 前段时间看到Apache Calcite Avatica远程代码执行漏洞 CVE-2022-36364 在网上搜索也没有找到相关的分析和复现文章,于是想着自己研究一下,看能不能发现可以利用的方法。 首先利用一下最近比较热门的 Deepseek ,询
继续阅读jeecg boot queryFieldBySql RCE漏洞分析
jeecg boot queryFieldBySql RCE漏洞分析 原创 kkk 漏洞推送 2025-02-08 08:59 环境搭建 后端 源码地址: https://github.com/jeecgboot/JeecgBoot 找到v3.5.3的commit,创建一个分支 安装Maven依赖 数据库配置文件: jeecg-module-system/jeecg-system-start/sr
继续阅读Confluence未授权漏洞分析(CVE-2023-22515)
Confluence未授权漏洞分析(CVE-2023-22515) 蚁景网安 2025-02-08 08:30 0x01 漏洞描述 Confluence 是由 Atlassian 开发的企业级协作软件。2023年10月,Atlassian 官方披露 CVE-2023-22515 Atlassian Confluence Data Center & Server 权限提升漏洞。攻击者可构造恶
继续阅读调查显示:75%的员工被要求为网络安全漏洞“背锅”
调查显示:75%的员工被要求为网络安全漏洞“背锅” 数世咨询 2025-02-08 08:02 调查概述: 根据IT.ie和SonicWall发布的一项新研究,接近四分之三的爱尔兰办公室员工认为,企业将网络安全事件的责任归咎于员工个人。该项调查由Censuswide进行,针对1000名爱尔兰办公室工作人员展开,调查结果揭示了“责任文化”对网络安全实践的影响,突显出亟需采取策略鼓励员工更开放地报告问
继续阅读