xss漏洞挖掘插件 — Jssx(2月6日更新)
xss漏洞挖掘插件 — Jssx(2月6日更新) Yn8rt 网络安全者 2025-02-06 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。个人
继续阅读标签: vx
没想到,“漏洞”竟然比“脆弱性”小太太太太多!
没想到,“漏洞”竟然比“脆弱性”小太太太太多! 原创 晓兵Jason 锐安全 2025-02-06 14:24 本文 1665 字,阅读时长 4分钟 指给你我看到的远方,助力你走得更远 Vulnerability ,有时候翻译成“漏洞”,有时候又翻译成“脆弱性”,以至于我们很多时候,其实是分不清的。 而漏洞,有时候我们又翻译成“Weakness”,但是在专业语境里,Vulnerability更像是
继续阅读实战缓冲区溢出漏洞攻击:从信息收集到成功提权
实战缓冲区溢出漏洞攻击:从信息收集到成功提权 原创 泷羽Sec—边酱 泷羽Sec-边酱 2025-02-06 14:04 实战缓冲区溢出漏洞攻击:从信息收集到成功提权 今天 带大家深入网络安全的实战领域 来一场刺激的缓冲区溢出漏洞利用 之旅 咱们以Brainpan程序 为例,一步步揭开漏洞攻击的神秘面纱,但这仅仅是用于学习交流,可别拿去干坏事哦! 一、信息收集:摸清目标底细 (一)扫描网段找目标
继续阅读【漏洞预警】libxml2代码执行漏洞(CVE-2022-49043)
【漏洞预警】libxml2代码执行漏洞(CVE-2022-49043) cexlife 飓风网络安全 2025-02-06 13:54 漏洞描述: 在libхml22.11.0之前的版本中,хinсludе.с文件中的хmlXInсludеAddNоdе函数存在一个使用后释放(uѕе-аftеr-frее)漏洞。 影响产品: 2.0.0<=libxml2<2.11.0 攻击场景: 攻击
继续阅读思科修补启用 Root CmdExec 和 PrivEsc 的关键 ISE 漏洞
思科修补启用 Root CmdExec 和 PrivEsc 的关键 ISE 漏洞 信息安全大事件 2025-02-06 12:08 Cisco 发布了更新,以解决身份服务引擎 (ISE) 的两个关键安全漏洞,这些漏洞可能允许远程攻击者在易受攻击的设备上执行任意命令并提升权限。 漏洞如下: – CVE-2025-20124(CVSS 评分:9.9)- 思科 ISE API 中存在不安全的
继续阅读7-Zip零日漏洞在俄乌战争中被利用
7-Zip零日漏洞在俄乌战争中被利用 原创 hackerson 黑客联盟l 2025-02-06 11:31 研究人员称,他们最近在 7-Zip 压缩实用程序中发现了一个零日漏洞,在俄罗斯对乌克兰的持续行动中,该漏洞被多次利用。 该漏洞使得一个俄罗斯组织能够绕过一项旨在限制执行从互联网下载文件的 Windows 保护机制。这种保护机制通常被称为 “网络标记”(Mark of the Web,简称
继续阅读思科披露两个严重的身份服务引擎漏洞
思科披露两个严重的身份服务引擎漏洞 跳舞的花栗鼠 FreeBuf 2025-02-06 11:02 思科公司披露了其身份服务引擎(ISE)软件中的两个关键漏洞,CVE-2025-20124和CVE-2025-20125,CVSS评分分别为9.9和9.1,严重性评级极高。这两个漏洞可能允许已认证的攻击者执行以下操作:远程任意命令执行、系统权限提升以及配置参数篡改。 截至目前,思科产品安全事件响应团队
继续阅读HVV实战课程与超值福利
HVV实战课程与超值福利 原创 ZPZ安全团队 ZeroPointZero安全团队 2025-02-06 10:23 P ART.01/ 课程简介 欢迎加入HVV行动实战课程,这是一门为网络安全爱好者和安全从业者量身打造的高端课程,专注于红蓝对抗技能的深入学习和实践应用。无论你是刚刚踏入网络安全领域的初学者,还是经验丰富的专业人士,这门课程都将带你深入探索网络攻防的精髓,为你提供从基础知识到高级技
继续阅读带挖2分钟即出高危,百万赏金猎人手把手教你「白嫖」漏洞!
带挖2分钟即出高危,百万赏金猎人手把手教你「白嫖」漏洞! FreeBuf知识大陆APP 2025-02-06 10:08 又到了一年一度立flag的时候啦 新年新气象,新技能也要安排上 今年咱换个剧本——不当咸鱼当大佬! FreeBuf 诚意满满, 联合各路神仙师傅搞了波「知识跳楼价」! 优惠力度,比过年抢红包还刺激,抢到就是赚到,没抢到……明年接着立flag呗。(摊手) 1 小火炬 漏洞挖掘通杀
继续阅读OWASP发布2025十大智能合约安全漏洞
OWASP发布2025十大智能合约安全漏洞 中科天齐软件安全中心 2025-02-06 10:00 点击 蓝字 关注中科天齐 随着去中心化金融(DeFi)和区块链技术的不断发展,智能合约安全的重要性愈发凸显。在此背景下,开放网络应用安全项目(OWASP)发布了备受期待的《2025年智能合约十大漏洞》报告。 这份最新报告反映了不断演变的攻击向量,深入剖析了近年来的常见漏洞及缓解策略。旨在提升Web3
继续阅读基于DeepSeek AI 代码审计漏洞 v1.0上线!可本地ollama调用
基于DeepSeek AI 代码审计漏洞 v1.0上线!可本地ollama调用 谈思实验室 2025-02-06 09:54 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 前言 经过相当的一段时间开发和很多通宵的优化修改,内测,这个工具总算可以把1.0版本拿出来给大家了,同时非常感谢lingview师傅让开发得以顺利,zac(点点)师傅给出了idea,并参与到优化中,非常感谢。 工具亮点 结
继续阅读Elon Musk团队操作引发美国政府数据安全危机与网络安全漏洞担忧;2024 网安(亏损)TOP 10 | 牛览
Elon Musk团队操作引发美国政府数据安全危机与网络安全漏洞担忧;2024 网安(亏损)TOP 10 | 牛览 安全牛 2025-02-06 09:26 新闻速览 2024 网安(亏损)TOP 10 Backline利用人工智能解决企业安全积压问题 Zyxel 路由器遭受 CVE-2024-40891 攻击,确认不再提供补丁;Netgear 发布关键漏洞修复 Grubhub 因第三方服务提供商
继续阅读Grafana 已全面支持 VictoriaMetrics 体系
Grafana 已全面支持 VictoriaMetrics 体系 原创 小斐Lab 网络小斐 2025-02-06 08:28 大家好,我是小斐呀。 关于监控告警这块的我之前几乎都是推荐使用 VictoriaMetrics 时序数据库,但是在 Grafana 下使用 VictoriaMetrics 时序库的时候需要单独安装 VictoriaMetrics 数据源插件,要么使用 Victor
继续阅读【真0day】Microsoft Sysinternals 工具中存在0day漏洞
【真0day】Microsoft Sysinternals 工具中存在0day漏洞 独眼情报 2025-02-06 06:48 我发现了几乎所有Sysinternals工具中的关键漏洞,并在视频中详细展示了这些漏洞的背景及攻击过程。关于这些漏洞的总结和视频链接可以在我的博客文章中找到。 这些工具由Microsoft开发,广泛应用于IT管理中,常用于系统分析和故障排查。视频中展示的漏洞涉及工具套件中
继续阅读使用deepseek进行代码审计漏洞挖掘?
使用deepseek进行代码审计漏洞挖掘? _7ingLian 偏远酒馆 2025-02-06 06:32 —>目录<— 0x01——前言 0x02—— deepseek-r1、 deepseek-coder-v2 大模型本地部署 0x03——deepseek-r1、 deepseek-coder-v2、 llama3.1在代码审计上的效果 0x01、前言 &#
继续阅读CVE-2025-24118:macOS 中的竞争条件漏洞可导致任意凭证获取
CVE-2025-24118:macOS 中的竞争条件漏洞可导致任意凭证获取 Ots安全 2025-02-06 06:09 目标 – macOS Sonoma < 14.7.3 macOS Sequoia < 15.3 iPadOS < 17.7.4 解释 麻省理工学院 CSAIL 安全研究员 Joseph Ravichandran(@0xjprx)表示,Apple
继续阅读塞讯验证:深度融合 DeepSeek 的智能安全验证平台
塞讯验证:深度融合 DeepSeek 的智能安全验证平台 塞讯安全验证 2025-02-06 06:01 塞讯安全度量验证平台已接入deepseek技术,借助其先进能力,为客户提供更智能、高效、精准的安全验证服务。 无论是在攻击分析、交互体验,还是在黑客防范与情报更新等方面,平台都将得到进一步的优化与提升,助力客户更好地应对复杂多变的网络安全威胁,在网络安全领域占据领先优势。 ▌智能时代的安全新思
继续阅读Solr 文件上传路径遍历漏洞(CVE-2024-52012)
Solr 文件上传路径遍历漏洞(CVE-2024-52012) 原创 天启实验室 天启实验室 2025-02-06 05:17 点击蓝字 关注我们 漏洞介绍 Solr 在 Windows 上运行的实例容易受到任意文件路径写访问的攻击,这是由于“configset 上传”API 缺乏输入清理所致。恶意构造的 ZIP 文件可以使用相对文件路径将数据写入文件系统未预料到的部分。 影响范围 6.6 
继续阅读同学,XXE漏洞了解一下
同学,XXE漏洞了解一下 原创 Caigensec 菜根网络安全杂谈 2025-02-06 04:09 点击标题下「蓝色微信名」可快速关注 免责声明:本文仅用于合法范围的学习交流,若使用者将本文用于非法目的或违反相关法律法规的行为,一切责任由使用者自行承担。请遵守相关法律法规,勿做违法行为!本公众号尊重知识产权,如有侵权请联系我们删除。 01 漏洞介绍 1、XXE概念 XXE(XML Extern
继续阅读deepseek官方API太卡?DeepSeek本地部署+代码审计,漏洞都是捡的
deepseek官方API太卡?DeepSeek本地部署+代码审计,漏洞都是捡的 安全透视镜 网络安全透视镜 2025-02-06 03:19 废话不说,先上效果图,有图有真相。 deepseek火了之后,诞生了很多相关的行业应用场景。这两天也有人尝试使用deepseek进行代码审计。但是官方的API实在太卡。 今天就给大家分享一个可离线的代码审计工具。工具包,见文末 deepseek部署 本地d
继续阅读AMD SEV 漏洞允许以管理员身份恶意注入 CPU 微码
AMD SEV 漏洞允许以管理员身份恶意注入 CPU 微码 汇能云安全 2025-02-06 02:34 2月6日,星期四,您好!中科汇能与您分享信息安全快讯: 01 PlushDaemon APT 在供应链攻击中以韩国 VPN 提供商为目标 根据 ESET 的新调查结果,一个以前未记录的与中国结盟的高级持续威胁 (APT) 组织 PlushDaemon 与 2023 年针对韩国虚拟专用网络 (V
继续阅读kkFileView漏洞不出网任意文件写入利用
kkFileView漏洞不出网任意文件写入利用 原创 不会排版 多才多艺的老王 2025-02-06 02:30 利用版本4.2.0 <= kkFileView <= 4.4.0-beta使用两种方式注入注入内存马1、覆盖uno.py注入内存马路径可能需要更改”/opt/libreoffice6.0″,”/opt/libreoffice6.1R
继续阅读DCCE MAC1000 PLC漏洞测试总结二
DCCE MAC1000 PLC漏洞测试总结二 NEURON SAINTSEC 2025-02-06 02:02 1. PLC指令可被利用发起蠕虫传播 **** 问题名称 PLC“自由通讯指令”可被利用发起蠕虫传播 检测工具 Arpspoof Python PLC_Config 问题描述 通过劫持PLC_Config下载程序流程,篡改PLC下载程序内容,导致PLC向局域网设备发送任一带功能报文(
继续阅读帆软bi反序列化漏洞利用工具更新V3.0
帆软bi反序列化漏洞利用工具更新V3.0 黑白之道 2025-02-06 01:58 工具更新 1、新增反序列化利用链 2、新增数据库连接解密功能 3、修复ssl证书问题 支持jackson、hibernate、cb反序列化链来进行利用 工具使用 dnslog功能 命令执行回显 工具获取 https://github.com/7wkajk/Frchannel/tree/master 文章来源:夜组
继续阅读记录某次APP漏洞挖掘案例
记录某次APP漏洞挖掘案例 原创 知名小朋友 进击安全 2025-02-06 01:01 一、前言 记录一下最近的一个漏洞,是针对app进行测试的一个漏洞。 二、挖掘记录 在进行测试短信相关功能点漏洞的时候发现,存在相关的sign值,并且在URL当中发现了存在相关的时间。 其中相关的参数如下: 可以看到参数mobile为我们的手机号,并且存在一个参数为timestamp为时间相关时间戳,这里对接口
继续阅读全球超过 660,000 个 Rsync 服务器遭受代码执行漏洞攻击
全球超过 660,000 个 Rsync 服务器遭受代码执行漏洞攻击 Rhinoer 犀牛安全 2025-02-05 16:00 全球超过 660,000 台暴露的 Rsync 服务器可能受到六个新漏洞的攻击,其中包括一个严重程度极高的堆缓冲区溢出漏洞,该漏洞允许在服务器上执行远程代码。 Rsync 是一个开源文件同步和数据传输工具,因其执行增量传输的能力而受到重视,从而减少了数据传输时间和带宽使
继续阅读Apache Cassandra 漏洞允许攻击者远程访问数据中心
Apache Cassandra 漏洞允许攻击者远程访问数据中心 网安百色 2025-02-05 11:31 点击上方 蓝字 关注我们吧~ Apache Cassandra 中披露了一个新的安全漏洞,标识为 CVE-2025-24860。 该漏洞涉及授权绕过,可能允许用户在使用特定授权方配置时未经授权访问数据中心或网络区域。 具有受限访问权限的用户可以通过 DCL 语句升级其权限。建议查看访问规则
继续阅读NVIDIA GPU 显示驱动程序漏洞
NVIDIA GPU 显示驱动程序漏洞 网安百色 2025-02-05 11:31 点击上方 蓝字 关注我们吧~ NVIDIA发布了关键安全更新,修复其GPU显示驱动程序和vGPU软件中的多个漏洞,影响Windows和Linux系统。 其中包括CVE-2024-0149,这是一个存在于Linux平台NVIDIA GPU显示驱动程序中的漏洞,攻击者可能通过该漏洞未经授权访问文件。 这些漏洞在2025
继续阅读【安全圈】Pwn2Own Automotive 2025 黑客因破解 49 个零日漏洞获 886,250 美元奖励
【安全圈】Pwn2Own Automotive 2025 黑客因破解 49 个零日漏洞获 886,250 美元奖励 安全圈 2025-02-05 11:01 关键词 零日漏洞 Pwn2Own Automotive 2025 黑客大赛已结束,安全研究人员在利用 49 个零日漏洞后获得了 886,250 美元的奖金。 在整个活动期间,他们瞄准汽车软件和产品,包括电动汽车(EV)充电器、汽车操作系统(即
继续阅读【安全圈】以色列间谍软件公司Paragon涉嫌利用WhatsApp零点击漏洞发动攻击
【安全圈】以色列间谍软件公司Paragon涉嫌利用WhatsApp零点击漏洞发动攻击 安全圈 2025-02-05 11:01 关键词 网络攻击 近日,WhatsApp披露了一起与以色列公司Paragon有关的针对性间谍软件攻击活动,该活动影响了包括记者和民间社会成员在内的90名用户。WhatsApp已确认直接通知了受影响的用户。 Meta旗下的即时通讯应用WhatsApp证实,其正在采取措施阻止
继续阅读