【InForSec 2025年会青年学者论坛回顾】刁文瑞:移动生态安全探索:从系统漏洞到大规模测量 网安国际 2025-01-25 10:50 来自山东大学网络空间安全学院教授、博士生导师刁文瑞老师以《移动生态安全探索:从系统漏洞到大规模测量》为主题,分享了其团队在移动与物联网安全领域的研究进展与成果。报告聚焦于移动操作系统漏洞挖掘与大规模移动应用安全测量两大方向。 在移动操作系统安全方面,刁老师
继续阅读友数聚 CPAS审计管理系统V4 getCurserIfAllowLogin SQL注入漏洞 Superhero nday POC 2025-01-25 10:26 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权
继续阅读CVE-2024-43451 Windows NTLM 漏洞,允许攻击者使用恶意快捷方式强制身份验证并捕获 NTLM 哈希 Ots安全 2025-01-25 10:20 描述 – 名称:CVE-2024-43451 CVSSv3 评分:6.5 受影响的版本:2024 年 11 月补丁之前的所有 Microsoft Windows 版本 CVE-2024-43451 是 Microsof
继续阅读CVE-2024-43468 :通过 PoC 代码揭示 Microsoft Configuration Manager 漏洞 Ots安全 2025-01-25 10:20 Synacktiv 的安全研究员 Mehdi Elyassa 公布了 Microsoft Configuration Manager (MCM) 中一个严重漏洞的技术细节和概念验证 (PoC) 漏洞代码,该漏洞编号为 CVE-2
继续阅读别错过!“系统0day安全”课程,带你精通漏洞挖掘技巧 看雪课程 看雪学苑 2025-01-25 09:59 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握二进制漏
继续阅读友数聚 CPAS审计管理系统V4 downPlugs 任意文件读取漏洞 Superhero nday POC 2025-01-25 09:50 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读xray图形化工具-Super Xray,支持自定义导入poc库 原创 track 泷羽Sec-track 2025-01-25 09:24 声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!! 公众号回台回复25125 即可获取 2024Goby红队版工具-附2024年poc合集,支持导入自定义poc库 2024全年漏洞poc大
继续阅读知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车 网络安全与人工智能研究中心 2025-01-25 05:21 攻击者可以利用最基本的车主信息,访问斯巴鲁汽车星链管理系统,进行定位或远程操作。 安全内参1月24日消息,安全研究员Sam Curry和Shubham Shah发现了斯巴鲁(Subaru)汽车星链管理系统中的一个漏洞。通过该漏洞,攻击者仅凭借基本的客户信息,如姓氏、邮政编码、电子邮件
继续阅读MS17-010漏洞利用工具 原创 摆烂的beizeng 土拨鼠的安全屋 2025-01-25 02:03 前言 在网络安全领域,从事内网渗透的师傅们对 ms17010 漏洞肯定不陌生。针对这个漏洞,有多种利用工具和方法,比如 Metasploit、Cobalt Strike 插件、fscan、landon 等。这些工具各有优劣,在不同的渗透场景下,选择合适的工具至关重要。 在这里,我想分享一款自
继续阅读思科曝9.9分关键权限提升漏洞 老布 FreeBuf 2025-01-25 02:02 近日,思科发布软件更新,解决影响会议管理的关键安全漏洞。该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。漏洞编号为CVE – 2025 – 20156,CVSS评分为9.9(满分10.0),是思科会议管理REST API中的权限提升漏洞。 思科周三在公告中称:“此漏
继续阅读5th域安全微讯早报【20250125】022期 网空闲话 网空闲话plus 2025-01-25 01:02 2025-01-25 星期六Vol-2025-022 今日热点导读 1. 巴基斯坦加强社交媒体监管, VPN 与审查制度成焦点 PCLOB 政治化或威胁美欧关键数据隐私协议 Pwn2Own Automotive 2025 黑客大赛落幕: 49 个零日漏洞获 88.6 万美元奖金 4.
继续阅读RANsacked:LTE 和 5G 网络实施中发现 100 多个安全漏洞 会杀毒的单反狗 军哥网络安全读报 2025-01-25 01:01 导读 研究人员披露了影响 LTE 和 5G 实施的 100 多个安全漏洞的详细信息,这些漏洞可能被攻击者利用来破坏服务访问,甚至进入蜂窝核心网络。 据佛罗里达大学和北卡罗来纳州立大学的研究人员称,这119 个漏洞被分配了 97 个唯一的 CVE 标识符,涵
继续阅读超过 2,000 台 SonicWall 设备易受严重0day漏洞攻击 会杀毒的单反狗 军哥网络安全读报 2025-01-25 01:01 导读 黑客正在利用 SonicWall 流行的 VPN 设备系列发起攻击,该系列设备存在的漏洞引发警惕。 该网络安全公司于周三发布了一份公告,警告该漏洞会影响其安全移动访问 (SMA) 1000 系列产品,许多公司使用该产品为员工提供公司网络的 VPN 访问。
继续阅读工具 | GeoServerExploit 浅安 浅安安全 2025-01-25 00:03 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介 GeoServerExploit是一款针对GeoServer的漏洞利用工具。 0x01 功能说明 – CVE-2024-36401 CVE-2024-3640
继续阅读漏洞预警 | 7-Zip Mark-of-the-Web绕过漏洞 浅安 浅安安全 2025-01-25 00:03 0x00 漏洞编号 – CVE-2025-0411 0x01 危险等级 – 高危 0x02 漏洞概述 7-Zip是一款免费开源文件归档应用程序,具有高压缩比,可用于压缩和解压文件,支持多种存档格式。 0x03 漏洞详情 CVE-2025-0411 漏洞类型:
继续阅读漏洞预警 | 红帆OA SQL 注入漏洞 浅安 浅安安全 2025-01-25 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 红帆OA是红帆科技基于微软.NET最新技术开发的信息管理平台,红帆oa系统为医院提供oA功能,完成信息发布、流程审批、公文管理、日程管理、工作安排、文件传递、在线沟通等行政办公业务。 0x03 漏洞详
继续阅读漏洞预警 | 通达OA SQL注入漏洞 浅安 浅安安全 2025-01-25 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 通达OA是一款协同办公自动化软件,由北京通达信科科技有限公司自主研发,为各行业不同规模的众多用户提供信息化管理能力。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 通达OA的
继续阅读7-Zip高危漏洞曝光 原创 Norsea 泷羽Sec-Norsea 2025-01-24 15:07 短发萧骚襟袖冷,稳泛沧浪空阔。 免责声明 本系列工具仅供安全专业人员进行已授权环境使用,此工具所提供的功能只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用工具中的功能对任何计算机系统进行入侵操作。利用此
继续阅读『漏洞复现』XXL-JOB 默认 accessToken 身份绕过 RCE 漏洞分析及复现 sec0nd安全 2025-01-24 15:01 点击蓝字 关注我们 日期:2025 年 1 月 23 日 作者:hdsec 介绍:XXL-JOB 默认 accessToken 身份认证绕过造成 RCE 漏洞。 0x00 前言 XXL-JOB 是一个分布式任务调度平台,常用于定时任务管理和调度。acces
继续阅读黑客攻防演练!!揭秘Sync Breeze缓冲溢出漏洞利用全过程!? 原创 泷羽Sec—边酱 泷羽Sec-边酱 2025-01-24 14:23 黑客攻防演练:揭秘Sync Breeze缓冲溢出漏洞利用全过程 在网络安全的世界里,攻防对抗时刻都在上演 今天 咱们就来揭开一个神秘的“黑客操作”——Sync Breeze缓冲溢出漏洞利用过程 的面纱。 一、发现前端限制漏洞 当我们打开Sync Bree
继续阅读山石入选车联网产品安全漏洞专业库CAVD支撑单位 车联网安全实验室 山石网科安全技术研究院 2025-01-24 12:59 2025年1月10日,由中汽数据有限公司(以下简称“中汽数据”)主办的车联网产品安全漏洞专业库(NVDB-CAVD)2024年终总结会在北京顺利召开。工业和信息化部网络安全管理局网络安全处处长袁春阳、中汽数据总经理冯屹出席会议并致辞,中汽数据信息安全室主任马超主持会议。来自
继续阅读YongYouNcTool-一款高效利用用友NC系列漏洞检测利用工具 原创 track 泷羽Sec-track 2025-01-24 12:43 声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!! 公众号后台回复25124 即可获取 往期推荐: 2024Goby红队版工具-附2024年poc合集,支持导入自定义poc库 一款功能
继续阅读phpMyAdmin 触发 XSS 攻击的安全漏洞 网安百色 2025-01-24 11:30 点击上方 蓝字 关注我们吧~ 漏洞详情 phpMyAdmin 作为一个开源的数据库管理工具,允许用户通过web界面进行数据库的管理操作。安全研究人员发现,在该工具的一些功能中,输入参数未经过充分验证,从而为潜在的攻击者提供了通过网页注入恶意JavaScript代码的机会。 恶意代码可以在目标用户的浏览器
继续阅读【安全圈】GhostGPT – 黑客用来生成恶意软件和漏洞的新型 AI 黑帽工具 安全圈 2025-01-24 11:01 关键词 网络安全 生成性人工智能的发展既为生产力带来有益变革,也带来了恶意利用的机会。 GhostGPT 是一款专为网络犯罪而创建的未经审查的 AI 聊天机器人,是该领域的最新威胁。 Abnormal Security 的研究人员发现,GhostGPT 是利用人工智能进行非
继续阅读【安全圈】思科曝9.9分关键权限提升漏洞 安全圈 2025-01-24 11:01 关键词 安全漏洞 近日,思科发布软件更新,解决影响会议管理的关键安全漏洞。 该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。 漏洞编号为CVE – 2025 – 20156,CVSS评分为9.9(满分10.0),是思科会议管理REST API中的权限提升漏洞。 思科周三
继续阅读【安全圈】斯巴鲁汽车漏洞让黑客利用 Starlink 远程控制数百万辆汽车 安全圈 2025-01-24 11:01 关键词 安全漏洞 去年年底,斯巴鲁 STARLINK 车联网服务被发现存在严重漏洞,导致美国、加拿大和日本的数百万辆汽车和客户账户面临潜在的网络攻击。 斯巴鲁以其全轮驱动汽车、高安全评级和在赛车运动中的强大影响力而闻名。Outback 和 Forester 等热门车型为其在美国销量
继续阅读Oracle 2025年1月补丁日多产品高危漏洞安全风险通告 代码卫士 2025-01-24 11:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2025年1月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2025-01-22 影响对象数量级 百万级 奇安信评级 高危 利用可能性 中 P
继续阅读斯巴鲁曝关键漏洞,凭车牌号可远程入侵汽车 Zicheng FreeBuf 2025-01-24 10:42 据Cyber Security News消息,斯巴鲁STARLINK互联汽车服务中心在2024年底被发现一个关键漏洞,美国、加拿大和日本的数百万辆汽车和车主账户可能受到网络攻击。 该安全漏洞允许攻击者使用最少的信息(如姓氏和邮政编码、电子邮件地址、电话号码或车牌)远程访问敏感的车辆和个人数据
继续阅读【漏洞预警】Elastic Fleet Server信息泄露漏洞 cexlife 飓风网络安全 2025-01-24 10:12 漏洞描述: 在Flееt Sеrvеr中发现了一个漏洞,其中包含敏感信息的Flееt策略被记录在INFO和ERROR日志级别上,敏感信息的性质在很大程度上取决于启用的集成。 影响产品:8.13.0<=Fleet Server<8.15.0 影响威胁指数:百万
继续阅读