【水文章】记录漏洞提交半自动化脚本完善日记
【水文章】记录漏洞提交半自动化脚本完善日记 原创 奥村燐 弥天安全实验室 2025-02-05 10:21 网安引领时代,弥天点亮未来 **** 0x00前言描述 参考之前的文章《【水文章】补天漏洞提交浏览器辅助插件》,把浏览器插件写成半自动化脚本,在之前的基础上,增加功能如下: **1、域名爱站权重截图进行填充**** **2、如果是IP资产,获取所属域名证明归属进行填充**** 3、占位POC
继续阅读标签: vx
紧急提醒!Netgear 路由器高危漏洞来袭,速更新固件!
紧急提醒!Netgear 路由器高危漏洞来袭,速更新固件! 看雪学苑 看雪学苑 2025-02-05 09:59 美国知名网络设备制造商 Netgear 近日发布安全公告,警告用户尽快更新其部分WiFi路由器的固件,以修复两个严重的安全漏洞。这些漏洞影响了多款WiFi 6接入点和Nighthawk Pro Gaming路由器,攻击者可利用这些漏洞远程执行代码或绕过身份验证,且攻击过程无需用户交互。
继续阅读Git交互式凭证提示和凭据重定向漏洞CVE-2024-50349 CVE-2024-52006
Git交互式凭证提示和凭据重定向漏洞CVE-2024-50349 CVE-2024-52006 SecHub网络安全社区 2025-02-05 09:06 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权
继续阅读支付安全堡垒中的隐藏漏洞
支付安全堡垒中的隐藏漏洞 蚁景网安 2025-02-05 08:30
继续阅读【安全月报】| 1月份因漏洞、黑客和诈骗造成的损失约为9800万美元
【安全月报】| 1月份因漏洞、黑客和诈骗造成的损失约为9800万美元 原创 零时科技 零时科技 2025-02-05 08:07 零时科技每月安全事件看点开始了!据一些区块链安全风险监 测平台统计显示,2025年1月因漏洞、黑客和诈骗造成的损失约为9800万美元,发生28次加密货币黑客攻击,其中约800万美元归因于网络钓鱼。但相比2024年1月的1.33亿美元损失,下降 44.6%。较24年12月
继续阅读一次OSS存储桶的任意数据上传挖掘
一次OSS存储桶的任意数据上传挖掘 白帽子左一 白帽子左一 2025-02-05 07:28 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 第一步:识别目标 在随意浏览目标网站时,我遇到了一个 403 Forbidden 响应。 img 第二步:技术检测 我使用 Wappalyzer 浏览器扩展来分析目标所使用的技术。结果
继续阅读7-Zip漏洞遭俄罗斯黑客利用,乌克兰多个政府组织中招!
7-Zip漏洞遭俄罗斯黑客利用,乌克兰多个政府组织中招! 原创 HackerNews 安全威胁纵横 2025-02-05 07:20 7-Zip漏洞被俄罗斯网络犯罪集团利用,通过鱼叉式网络钓鱼活动传递恶意软件,且可能针对乌克兰政府和非政府组织用于网络间谍活动。 据Trend Micro安全研究员称,7-Zip归档工具中的一个最近修补的安全漏洞 (CVE-2025-0411,CVSS评分为7.0)
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第5期,总第23期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第5期,总第23期] 原创 安钥 方桥安全漏洞防治中心 2025-02-05 07:01 感谢所有参与漏洞处置SOP征文活动的每一个人,为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程经常
继续阅读Apache Commons Fileupload拒绝服务漏洞(CVE-2023-24998)处置标准作业程序(SOP)
Apache Commons Fileupload拒绝服务漏洞(CVE-2023-24998)处置标准作业程序(SOP) 原创 LK 方桥安全漏洞防治中心 2025-02-05 07:01 01 SOP基本信息 SOP名称:Apache Commons Fileupload拒绝服务漏洞(CVE-2023-24998)处置标准作业程序(SOP) 版本:1.0 发布日期:2025-1-22 作者:LK
继续阅读入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第二十期
入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第二十期 原创 安钥 方桥安全漏洞防治中心 2025-02-05 07:01 2025年1月9日发布的 安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第2期,总第20期] 活动现已结束。经过初评和复审,本次共有 7 篇 SOP 入选。 入选SOP作品 结构清晰、内容翔实、实用性强,有较高的借鉴意义,体现了作者在漏洞处置实践工
继续阅读【安全预警】浪潮HCM-Cloud云端专业人力资源平台存在任意文件读取漏洞
【安全预警】浪潮HCM-Cloud云端专业人力资源平台存在任意文件读取漏洞 hyuya 安全卫士小帮手 2025-02-05 04:08 来源:https://www.ddpoc.com/DVB-2024-8360.html 产商已修复,未更新补丁的请及时更新补丁,验证脚本和方式星球内自取
继续阅读警惕!黑客利用政府网站漏洞发动钓鱼攻击,全球多国受害
警惕!黑客利用政府网站漏洞发动钓鱼攻击,全球多国受害 原创 紫队 紫队安全研究 2025-02-05 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 近日,网络安全研究机构 Cofense I
继续阅读7-Zip MotW 绕过漏洞被用于针对乌克兰的零日攻击
7-Zip MotW 绕过漏洞被用于针对乌克兰的零日攻击 独眼情报 2025-02-05 02:55 简单机翻,之前预警过,有些人觉得影响不大 自 2024 年 9 月以来,俄罗斯黑客利用 7-Zip 漏洞作为零日漏洞,该漏洞允许攻击者绕过 Windows 安全功能 Mark of the Web (MotW)。 据趋势科技研究人员称,该漏洞被用于针对乌克兰政府和该国私人组织的 SmokeLoad
继续阅读以色列间谍软件公司Paragon涉嫌利用WhatsApp零点击漏洞发动攻击
以色列间谍软件公司Paragon涉嫌利用WhatsApp零点击漏洞发动攻击 邑安全 2025-02-05 02:52 更多全球网络安全资讯尽在邑安全 近日,WhatsApp披露了一起与以色列公司Paragon有关的针对性间谍软件攻击活动,该活动影响了包括记者和民间社会成员在内的90名用户。WhatsApp已确认直接通知了受影响的用户。 Meta旗下的即时通讯应用 WhatsApp证实,其正在采取措
继续阅读谷歌修复安卓内核零日漏洞,攻击者已利用该漏洞发起攻击
谷歌修复安卓内核零日漏洞,攻击者已利用该漏洞发起攻击 邑安科技 邑安全 2025-02-05 02:52 更多全球网络安全资讯尽在邑安全 2025年2月的安卓安全更新修复了48个漏洞,其中包括一个已被攻击者利用的零日内核漏洞。这个高危零日漏洞(编号为CVE-2024-53104)存在于安卓内核的USB视频类驱动程序中,是一个权限提升漏洞。攻击者可以通过低复杂度攻击,利用该漏洞提升权限。 漏洞详情与
继续阅读基于DeepSeek AI 代码审计漏洞 v1.0上线!可本地ollama调用 | 工具
基于DeepSeek AI 代码审计漏洞 v1.0上线!可本地ollama调用 | 工具 秋风 渗透安全团队 2025-02-05 02:42 前言 经过相当的一段时间开发和很多通宵的优化修改,内测,这个工具总算可以把1.0版本拿出来给大家了,同时非常感谢lingview师傅让开发得以顺利,zac(点点)师傅给出了idea,并参与到优化中,非常感谢 工具亮点 结合了污点分析+ast分析+AI分析(
继续阅读自动化软件漏洞利用技术研究
自动化软件漏洞利用技术研究 NEURON SAINTSEC 2025-02-05 02:00 Automatic Exploit Generation可以看作是一种算法,它集成了数据流分析和决策程序,目的是自动化构建漏洞利用。本文主要覆盖三种常见安全漏洞的自动化漏洞利用:基于堆栈的破坏存储指令指针的缓冲区溢出,破坏函数指针的缓冲区溢出,以及缓冲区溢出造成任意地址写。 1. 介绍 当前漏洞利用通常是
继续阅读首款色情应用登录苹果第三方应用商店
首款色情应用登录苹果第三方应用商店 GoUpSec 2025-02-05 01:57 当库克引以为傲的iOS“围墙花园”被欧盟《数字市场法案》(DMA)凿开一道裂缝时,没人想到第一个钻进来的会是色情应用。 苹果公证的“成人应用” 近日,欧洲iPhone用户发现,苹果第三方应用商店AltStore PAL上线了一款名为Hot Tub(热浴缸)的成人内容浏览器。该应用由开发者c1d3r打造,宣称“无广
继续阅读【漏洞复现】锐明技术Crocus系统存在任意文件读取
【漏洞复现】锐明技术Crocus系统存在任意文件读取 什么安全 什么安全 2025-02-05 01:47 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 产品描述 深圳市锐明技术股份有限公司锐明技术Crocus系统融合了锐明
继续阅读【漏洞预警】招标采购平台存在未授权访问
【漏洞预警】招标采购平台存在未授权访问 原创 什么安全 什么安全 2025-02-05 01:25 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 产品介绍 上海汇招信息技术有限公司,是我国领先的集供应链管理咨询、项目实施、平
继续阅读sqlmap Xplus 基于 sqlmap,对经典的数据库注入漏洞利用工具进行二开!更新V1.6
sqlmap Xplus 基于 sqlmap,对经典的数据库注入漏洞利用工具进行二开!更新V1.6 黑白之道 2025-02-05 01:22 工具介绍 sqlmapxplus在众多的地区性攻防演练中,SQL Server数据库堆叠注入仍有较高的爆洞频率,但因为一些常见的演练场景限制,如不出网、低权限、站库分离、终端防护、上线困难、权限维持繁琐等,仅一个–os-shell已经难满足我们
继续阅读7-Zip MotW 绕过漏洞被用于针对乌克兰的0day攻击
7-Zip MotW 绕过漏洞被用于针对乌克兰的0day攻击 会杀毒的单反狗 军哥网络安全读报 2025-02-05 01:00 导读 自 2024 年 9 月以来,俄罗斯黑客利用 7-Zip 漏洞作为 0 day漏洞武器,该漏洞允许攻击者绕过 Windows 安全功能 Mark of the Web (MotW)。 据趋势科技研究人员称,该漏洞被用于针对乌克兰政府和私人组织的 SmokeLoad
继续阅读【漏洞复现】锐明Crocus系统存在任意文件读取漏洞
【漏洞复现】锐明Crocus系统存在任意文件读取漏洞 PokerSec PokerSec 2025-02-05 01:00 先关注,不迷路,成为你渗透大师路上的王牌. 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞介绍 深圳市锐明技术股
继续阅读2025 持续防范 GitHub 投毒,通过 Sharp4SuoExplorer 分析 Visual Studio 隐藏文件
2025 持续防范 GitHub 投毒,通过 Sharp4SuoExplorer 分析 Visual Studio 隐藏文件 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-05 00:30 在2024年底的网络安全事件中,某提权工具被发现植入后门,攻击者利用 .suo 文件作为隐蔽的攻击方式。由于 .suo 文件是 Visual Studio 项目的隐藏配置文件,通常不为安全研究
继续阅读俄罗斯网络犯罪团伙利用7-Zip零日漏洞攻击乌克兰
俄罗斯网络犯罪团伙利用7-Zip零日漏洞攻击乌克兰 小蛛 狼蛛安全实验室 2025-02-05 00:19 俄罗斯网络犯罪团伙利用7-Zip零日漏洞攻击乌克兰政府及民间组织 2025-02-04, 来源:趋势科技, AI评估:8分(APT报告) 安全研究人员发现,2024年9月,俄罗斯网络犯罪团伙利用7-Zip零日漏洞(CVE-2025-0411)对乌克兰政府及民间组织实施网络攻击。该漏洞通过双层
继续阅读420万台主机面临安全风险!VPN、路由器等设备因隧道协议漏洞暴露
420万台主机面临安全风险!VPN、路由器等设备因隧道协议漏洞暴露 原创 Hankzheng 技术修道场 2025-02-05 00:16 近日,一项由Top10VPN与比利时鲁汶大学教授Mathy Vanhoef合作的研究揭示,多个隧道协议存在严重安全漏洞 ,可能导致攻击者对420万台主机发起多种攻击,其中包括VPN服务器、ISP家用路由器、核心互联网路由器、移动网络网关以及内容分发网络(CDN
继续阅读五眼联盟发布网络边缘设备安全指导,强调取证可见性
五眼联盟发布网络边缘设备安全指导,强调取证可见性 原创 网空闲话 网空闲话plus 2025-02-04 23:04 2025年2月4日,英国、澳大利亚、加拿大、新西兰和美国的“五眼”网络安全机构联合发布指导文件,呼吁网络边缘设备制造商提高取证可视性,以帮助防御者检测攻击并调查违规行为。相关文件包括《网络设备和器具生产商的数字取证和保护监测规范指南》和《边缘设备的安全注意事项(ITSM.80.10
继续阅读jeecgBoot漏洞利用工具 — jeecgBootAttack(2月1日更新)
jeecgBoot漏洞利用工具 — jeecgBootAttack(2月1日更新) 7wkajk 网络安全者 2025-02-04 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,
继续阅读无点击钓鱼?微软超高危RCE漏洞
无点击钓鱼?微软超高危RCE漏洞 原创 天启实验室 天启实验室 2025-02-04 11:16 点击 关注我们 漏洞介绍 CVE-2025-21298:Windows OLE远程代码执行漏洞。 该漏洞的CVSS评分为9.8,可导致远程攻击者通过 Outlook 向受影响系统发送特殊构造的邮件,在目标系统上执行代码。幸运的是预览面板并非攻击向量,但预览附件可触发代码执行。该漏洞位于 RTF 文件的
继续阅读5款常用的漏洞扫描工具,网安人得会吧~
5款常用的漏洞扫描工具,网安人得会吧~ 点击关注👉 马哥网络安全 2025-02-04 09:01 漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系 统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测的行为。 在漏洞扫描过程中,我们经常会借助一些漏扫工具,市面上漏扫工具众多,其中有一些常用的,你一定要熟悉。 1 X-RAY xray作为一款渗透测试中必备的捡洞神器,在日常渗
继续阅读