【再发一遍】新春抽奖开启!与奉天安全团队 & 禾信智安共迎新年好运!
【再发一遍】新春抽奖开启!与奉天安全团队 & 禾信智安共迎新年好运! 原创 何处 奉天安全团队 2025-01-24 10:08 “奉天安全团队 & 禾信智安” 抽奖活动 开始啦! 过去的一年,奉天安全团队从最初只有几个人,逐渐成长为一支有百名成员的团队。这一年,我们经历了无数挑战,也收获了满满的成就,我们的内部漏洞库和知识库也在逐步完善并投入运行。 如今,新春佳节来临,我们希望通
继续阅读标签: vx
每周蓝军技术推送(2025.1.18-1.24)
每周蓝军技术推送(2025.1.18-1.24) 原创 天元实验室 M01N Team 2025-01-24 10:01 Web安全 Cookie Sandwich:新型HttpOnly Cookie窃取技术 https://portswigger.net/research/stealing-httponly-cookies-with-the-cookie-sandwich-technique C
继续阅读特斯拉汽车被“重点关注”,Pwn2Own Automotive 2024首日曝出24个零日漏洞
特斯拉汽车被“重点关注”,Pwn2Own Automotive 2024首日曝出24个零日漏洞 看雪学苑 看雪学苑 2025-01-24 09:59 1月24日,Pwn2Own Automotive 2024黑客大赛在日本东京拉开帷幕,首日便吸引了全球顶尖安全研究人员的参与。本次比赛专注于汽车网络安全,目标包括特斯拉车载信息娱乐系统(IVI)、电动汽车充电器以及汽车操作系统等。 在首日的比赛中,S
继续阅读【免费领】新手必备!Web安全漏洞实战入门教程
【免费领】新手必备!Web安全漏洞实战入门教程 蚁景网络安全 2025-01-24 09:32 点击蓝字/关注我们 今日福利 一线大佬漏洞实战经验总结 帮助零基础新手入门,速成漏洞实战技术 全程案例解析漏洞工具、检测及注入方法 限 时 福 利 , 请 及 时 领 取 哦 ~ 该资料内容较多,无法列出全部目录,以下为节选的部分目录: 长按识别下方二维码,回复 “0124” , 免费领取~【请注意:不
继续阅读ChatGPT又全球大面积宕机,AI助手暂时”失联”;斯巴鲁系统漏洞曝光,数百万车辆面临远程解锁并启动风险 | 牛览
ChatGPT又全球大面积宕机,AI助手暂时”失联”;斯巴鲁系统漏洞曝光,数百万车辆面临远程解锁并启动风险 | 牛览 安全牛 2025-01-24 09:30 点击蓝字·关注我们 / aqniu 新闻速览 美国希望拥有TikTok 50%股份,商务部回应 ChatGPT又全球大面积宕机,AI助手暂时”失联” 人工智能辅助网络犯罪活动升级,Ghos
继续阅读SonicWall 呼吁立即修补可能被利用的严重 CVE-2025-23006 缺陷
SonicWall 呼吁立即修补可能被利用的严重 CVE-2025-23006 缺陷 邑安科技 邑安全 2025-01-24 07:43 更多全球网络安全资讯尽在邑安全 SonicWall 提醒客户注意一个影响其安全移动访问 (SMA) 1000 系列设备的严重安全漏洞,它表示该漏洞可能已被作为零日漏洞在野外利用。该漏洞被跟踪为 CVE-2025-23006,在 CVSS 评分系统上被评为 9.8
继续阅读新的 Cleo 零日 RCE 漏洞在数据盗窃攻击中被利用
新的 Cleo 零日 RCE 漏洞在数据盗窃攻击中被利用 邑安科技 邑安全 2025-01-24 07:43 更多全球网络安全资讯尽在邑安全 黑客正在积极利用 Cleo 托管文件传输软件中的零日漏洞来破坏公司网络并进行数据盗窃攻击。 该漏洞存在于该公司的安全文件传输产品 Cleo LexiCom、VLTrader 和 Harmony 中,该漏洞允许不受限制地上传和下载文件,从而导致远程代码执行。
继续阅读新的 UEFI 安全启动漏洞使系统暴露于 bootkit
新的 UEFI 安全启动漏洞使系统暴露于 bootkit 胡金鱼 嘶吼专业版 2025-01-24 06:01 即使安全启动保护处于活动状态,也可能会利用一个新的 UEFI 安全启动绕过漏洞(编号为 CVE-2024-7344)影响 Microsoft 签名的应用程序来部署 bootkit,多个第三方软件开发商的多个实时系统恢复工具中存在易受攻击的 UEFI 应用程序。 Bootkit 是一种难以
继续阅读安全保障不停歇|嘉韦思与您共度安心年
安全保障不停歇|嘉韦思与您共度安心年 嘉韦思 2025-01-24 06:00 点击蓝字 关注嘉韦思 筑牢安全防线 喜乐迎接新春 嘉韦思春节通知 甲辰龙年圆满落幕 金蛇携瑞,踏破晨霭迎新春灵蛇纳福,鞭鸣爆竹展宏图 这个辞旧迎新的时刻 我们迎来了 充满希望和活力的蛇年 嘉韦思祝大家蛇年大吉! 嘉韦思春节值班通知 为确保春节期间用户的网络安全无忧, 嘉韦思安排各部门专业人员轮流值班。 以下是春节期间值
继续阅读【漏洞通告】Podman:buildah:竞争条件导致容器突破(CVE-2024-11218)
【漏洞通告】Podman:buildah:竞争条件导致容器突破(CVE-2024-11218) 安迈信科应急响应中心 2025-01-24 04:12 01 漏洞概况 在 podman build 和 buildah 中发现了一个漏洞。这个问题发生在使用 –jobs=2 进行容器构建时,以及在构建恶意 Containerfile 时出现的竞态条件。SELinux 可能能够缓解这个问
继续阅读【漏洞通告】字符串定位器 <= 2.6.6 - 未经身份验证的 PHP 对象注入 (CVE-2024-10936)
【漏洞通告】字符串定位器 <= 2.6.6 – 未经身份验证的 PHP 对象注入 (CVE-2024-10936) 安迈信科应急响应中心 2025-01-24 04:12 01 漏洞概况 WordPress的String定位插件存在PHP对象注入漏洞,该漏洞存在于所有版本至包括2.6.6版本。漏洞出现在’recursive_unserialize_replace
继续阅读【漏洞通告】通过使用特制文件名导致移动端崩溃(CVE-2025-0476)
【漏洞通告】通过使用特制文件名导致移动端崩溃(CVE-2025-0476) 安迈信科应急响应中心 2025-01-24 04:12 01 漏洞概况 Mattermost移动应用版本低于或等于2.22.0在处理特殊构造的附件名称时存在缺陷,这使得攻击者能够针对打开包含特殊构造附件的频道的任何用户,导致移动应用崩溃。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称通过使用特制文件名导致移动端
继续阅读黑客在 Pwn2Own Automotive 2025 第一天利用了 16 个0day漏洞
黑客在 Pwn2Own Automotive 2025 第一天利用了 16 个0day漏洞 龙猫 星尘安全 2025-01-24 02:01 点击上方 蓝字 关注我们 在 Pwn2Own Automotive 2025 的第一天,安全研究人员利用了 16 个独特的零日漏洞,并获得了 382,750 美元的现金奖励。 Fuzzware.io 利用基于堆栈的缓冲区溢出和源站验证错误漏洞入侵了 Aute
继续阅读内网扫描工具Fscan免杀版|漏洞扫描
内网扫描工具Fscan免杀版|漏洞扫描 漏洞挖掘 渗透安全HackTwo 2025-01-23 16:00 0x01 工具介绍 二开的 fscan 是基于原版内网扫描工具的优化版本,解决了主机存活输出乱序、端口扫描结果混乱等问题,支持 IP 和端口排序输出,更加直观和高效。此外,删除了一些冗余功能如 JSON 输出,并优化了命令行参数处理和日志记录,适配个人渗透习惯。 下载地址在末尾 0x02
继续阅读工具推荐 | Redis 漏洞综合利用工具
工具推荐 | Redis 漏洞综合利用工具 yuyan-sec 星落安全团队 2025-01-23 16:00 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 RedisEXP是一款golang编写的Redis漏洞利用工具。注意:主从复制会清空数据,主从复制会清空数据,主从复制会清空数据,请注意
继续阅读攻防靶场(49):EXP不能用怎么办 Lampiao
攻防靶场(49):EXP不能用怎么办 Lampiao 原创 罗锦海 OneMoreThink 2025-01-23 16:00 欢迎提出宝贵建议 、欢迎分享 文章、欢迎关注 公众号 OneMoreThink 。 目录 侦查 1.1 收集目标网络信息:IP地址 1.2 主动扫描:扫描IP地址段 1.3 主动扫描:字典扫描 初始访问 2.1 利用面向公众的应用 权限提升 3.1 利用漏洞提权:操作系统
继续阅读SSRF漏洞简单练习
SSRF漏洞简单练习 sec0nd安全 2025-01-23 14:31 点击标题下「蓝色微信名」可快速关注 免责声明:本文仅用于合法范围的学习交流,若使用者将本文用于非法目的或违反相关法律法规的行为,一切责任由使用者自行承担。请遵守相关法律法规,勿做违法行为!本公众号尊重知识产权,如有侵权请联系我们删除。 01 SSRF介绍 1、概念简介 SSRF(Server – Side Req
继续阅读【漏洞预警】AdForest <= 5.1.8 — 身份验证绕过
【漏洞预警】AdForest <= 5.1.8 — 身份验证绕过 cexlife 飓风网络安全 2025-01-23 13:42 漏洞描述: WordPress的AdForest主题在直至并包括5.1.8版本中存在认证绕过漏洞,这是因为插件在登录用户之前没有正确验证用户的身份,这使得未经身份验证的攻击者只要通过手机号码配置了OTP登录,就可以作为任何用户进行身份验证。 修复建议:建议您更新当
继续阅读SonicWall SMA 1000 系列设备面临严重漏洞,亟需立即修补(CVE-2025-23006)
SonicWall SMA 1000 系列设备面临严重漏洞,亟需立即修补(CVE-2025-23006) 锋刃科技 2025-01-23 12:57 SonicWall 的 Secure Mobile Access (SMA) 1000 系列设备是专为提供企业级安全远程访问解决方案设计的硬件平台。它允许用户通过 SSL VPN 和 HTML5 Web 应用程序网关等技术从任何地点安全地连接到公司网
继续阅读记一次SRC挖掘实战|签约漏洞的意外之喜
记一次SRC挖掘实战|签约漏洞的意外之喜 Z2O安全攻防 2025-01-23 12:55 在一次日常漏洞挖掘中发现某系统存在一个连续包月的签约服务,那二话不多说直接上一个签约漏洞的测试流程 框框扫完两次支付宝和微信美美的去看一下结果 发现只有一个发货其他都不发货,等了一下还退款了 GG感觉没啥好测试了准备换地方 但是柳暗花明又一村 突然发现发现会员发货完后,其他待发货的会员的赠品会单独的创建一个
继续阅读从靶场到实战–双一流高校多个高危漏洞
从靶场到实战–双一流高校多个高危漏洞 原创 大白 蚁景网络安全 2025-01-23 12:05 本文结合其它用户案例分析讲解挖掘某双一流站点的过程,包含日志泄露漏洞深入利用失败,到不弱的弱口令字典进入后台,再到最后偶遇一个貌似只在靶场遇到过的高危漏洞。 信息搜集: web站点的话从域名,ip等入手范围太大了,于是决定直接从小程序入手。 微信搜索学校名称,便直接可以通过公众号,小程序寻
继续阅读Windows 文件资源管理器权限提升漏洞 (CVE-2024-38100)
Windows 文件资源管理器权限提升漏洞 (CVE-2024-38100) 网安百色 2025-01-23 11:28 点击上方 蓝字 关注我们吧~ 漏洞利用详情 该漏洞存在于Windows文件资源管理器进程中的分布式组件对象模型(DCOM)对象。 具体来说,ShellWindows DCOM对象(CLSID {9BA05972-F6A8-11CF-A442-00A0C90A8F39})被配置为
继续阅读Pwn2Own 2025首日,16个零日漏洞和200万奖金
Pwn2Own 2025首日,16个零日漏洞和200万奖金 Zicheng FreeBuf 2025-01-23 11:01 1月22日, Pwn2Own Automotive 2025 在东京国际展览中心拉开帷幕,比赛首日就有16个零日漏洞被利用,多名参赛白帽黑客累计获得了超38万美元奖金。 Pwn2Own Automotive是主办方趋势科技专门针对汽车网络安全领域举办的安全竞赛,本届是自20
继续阅读关于公示2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位的通知
关于公示2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位的通知 CAPPVD漏洞库 FreeBuf 2025-01-23 11:01 2025年1月,工业和信息化部移动互联网APP产品安全漏洞专业库(以下简称CAPPVD漏洞库)根据《CAPPVD漏洞库支撑单位能力评定办法》,经过对各支撑单位在2024年度的支撑情况开展能力评定,最终确定34家单位入选为2025年度CAPPVD漏洞
继续阅读梆梆安全发布《2024年Q4移动应用安全风险报告》 全国78.37%以上APP存在中高危漏洞风险
梆梆安全发布《2024年Q4移动应用安全风险报告》 全国78.37%以上APP存在中高危漏洞风险 梆梆安全 2025-01-23 09:32 梆梆安全出品的《2024年Q4移动应用安全风险报告》来了!以梆梆安全移动应用监管平台2024年Q4监测、分析的移动应用安全态势为基础,为大家重点和深度分析国内移动应用攻击技术及安全趋势发展, 为移动应用安全建设工作提供有效建议和参考。 ★ 01 ★ 全国移动
继续阅读信息安全漏洞周报【第007期】
信息安全漏洞周报【第007期】 零零捌信安观察 银天信息 2025-01-23 09:16 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读CVE-2024-49113“LDAP 噩梦”:2025 年首个 PoC 漏洞针对关键 Windows 漏洞
CVE-2024-49113“LDAP 噩梦”:2025 年首个 PoC 漏洞针对关键 Windows 漏洞 原创 破天KK KK安全说 2025-01-23 09:04 新的一年,网络安全大戏依旧——但这一次是重磅炸弹! CVE-2024–49113 又名令人恐惧的“ LDAP 噩梦”。这个漏洞让世界各地的 IT 管理员一边疯狂修补系统,一边像喝水一样喝咖啡。为什么?因为这个零点击漏洞不只是敲
继续阅读ChatGPT Crawler漏洞可以通过HTTP请求进行DDoS攻击
ChatGPT Crawler漏洞可以通过HTTP请求进行DDoS攻击 HackSee安全团队 HackSee 2025-01-23 09:03 ChatGPT的网络爬虫的行为可以通过发现的漏洞来利用:在特定的查询条件下,OpenAI的bot可能会无意中对任意网站执行DDoS攻击。这个有趣的漏洞是由网络安全研究员Benjamin Flesch报告的。根据他的说法,对ChatGPT API的单个HT
继续阅读思科提醒注意严重的DoS漏洞
思科提醒注意严重的DoS漏洞 Sergiu Gatlan 代码卫士 2025-01-23 08:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科发布安全更新,修复了位于ClamAV 中的拒绝服务 (DoS) 漏洞,并表示漏洞的 PoC 利用代码已出现。 该漏洞的编号是CVE-2025-20128,是由位于OLE2解密例程中的一个堆缓冲溢出漏洞造成的,可导致未认证的远程攻击者在易受攻
继续阅读