工信部认可!360荣获车联网产品安全漏洞专业库“优秀技术支撑单位”
工信部认可!360荣获车联网产品安全漏洞专业库“优秀技术支撑单位” 360数字安全 2025-01-14 10:49 近日,由中汽数据有限公司主办的车联网产品安全漏洞专业库(NVDB-CAVD)2024年终总结会在北京圆满落幕。360数字安全集团受邀出席,荣获工业和信息化网络安全威胁和漏洞信息共享平台车联网产品安全漏洞专业库的“优秀技术支撑单位”、“技术支撑单位”称号,并获得“原创漏洞证书”。 本
继续阅读标签: vx
严重的 Aviatrix Controller RCE 漏洞已遭利用
严重的 Aviatrix Controller RCE 漏洞已遭利用 Bill Toulas 代码卫士 2025-01-14 10:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者们正在利用Aviatrix Controller 实例中的一个严重的远程命令执行漏洞 (CVE-2024-50603),安装后门和密币挖矿机。 Aviatrix Controller 是 Aviat
继续阅读微软:macOS 漏洞可导致黑客安装恶意内核驱动
微软:macOS 漏洞可导致黑客安装恶意内核驱动 Sergiu Gatlan 代码卫士 2025-01-14 10:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果公司最近修复了一个macOS 漏洞,可导致攻击者绕过系统完整性保护 (SIP) 措施并通过加载第三方内核扩展的方式安装恶意内核驱动。 SIP 或 “rootless” 是macOS 的一个安全特性,可通过限制根用户账户在
继续阅读2025年首个满分漏洞:云攻击者利用Aviatrix Controller漏洞植入恶意软件
2025年首个满分漏洞:云攻击者利用Aviatrix Controller漏洞植入恶意软件 看雪学苑 看雪学苑 2025-01-14 10:00 2025年1月14日,网络安全研究人员发现,云攻击者正在利用一个名为Max-Critical Aviatrix RCE的漏洞(编号CVE-2024-50603),该漏洞在CVSS评分中高达10分(满分10分),能够在受影响系统上执行未经身份验证的远程代码
继续阅读VulScanner:一款专业的红队漏洞检测工具
VulScanner:一款专业的红队漏洞检测工具 泷羽Sec-醉陌离 2025-01-14 10:00 VulScanner 一款适合在渗透测试中随时记录和保存的漏洞检测工具 项目地址:https://github.com/cn-xwhat/VulScanner 文末有详细配置教程 一、 主要模块 主要功能模块 任务管理 : 支持扫描任务、FOFA 采集、IP 段采集。 任务进度实时可视化,便于跟
继续阅读PWN入门之格式化字符串漏洞
PWN入门之格式化字符串漏洞 蚁景网络安全 2025-01-14 09:30 0x00 前言 一声晴空霹雳,鸽王再次更新(手动狗头保个命),Pwn入门系列终于迎来了他的第三次更新,好长时间没更新了,就不给大家说那些没用的了,直接上干货! 0x01 格式化字符串函数介绍 格式化字符串(Fromat String):在编码过程中,允许编码人员通过特殊的占位符,将相关对应的信息整合或提取的规则字符串。格
继续阅读使用自动化工具寻找sql注入漏洞
使用自动化工具寻找sql注入漏洞 马哥网络安全 2025-01-14 09:00 对某开源cms进行代码审计 ,发现虽然该cms虽然对参数参数进行了过滤,但是过滤有限,依然可以通过其他方法绕过进行sql注入,本文将将通过正则匹配的方式,并通过自动化查找工具,寻找某cms中存在的sql注入漏洞 对某开源cms进行代码审计 ,发现虽然该cms虽然对参数参数进行了过滤,但是过滤有限,依然可以通过其他方法
继续阅读【漏洞通告】Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282)
【漏洞通告】Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282) 启明星辰安全简讯 2025-01-14 08:17 一、漏洞概述 漏洞名称 Ivanti多款产品缓冲区溢出漏洞 CVE ID CVE-2025-0282 漏洞类型 缓冲区溢出 发现时间 2025-01-14 漏洞评分 9.0 漏洞等级 严重 攻击向量 网络 所需权限 低 利用难度 高 用户交互 无 PoC/EXP 未
继续阅读上周关注度较高的产品安全漏洞(20250106-20250112)
上周关注度较高的产品安全漏洞(20250106-20250112) 国家互联网应急中心CNCERT 2025-01-14 08:15 一、境外厂商产品漏洞 1、Fortinet FortiEDR访问控制错误漏洞(CNVD-2025-00410)**** Fortinet FortiEDR是美国飞塔(Fortinet)公司的一个从头开始构建的端点安全解决方案。Fortinet FortiEDR存在访
继续阅读云连POS-ERP管理系统 download.action 任意文件读取漏洞
云连POS-ERP管理系统 download.action 任意文件读取漏洞 Superhero nday POC 2025-01-14 08:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读泛洪攻击模拟复现详解
泛洪攻击模拟复现详解 原创 OlIyDg 泷羽Sec-shinyer安全 2025-01-14 00:55 文章仅供学习网络安全技术参考研究使用,请勿使用相关技术做违法操作,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负 我这篇文章讲的是现在比较常见的攻击方式SYN FLOOD泛洪放大攻击 SYN 洪水(半开连接攻击)是一种拒绝服务 (D
继续阅读无独有偶,通过.NET反序列化漏洞实现 Visual Studio 钓鱼攻击
无独有偶,通过.NET反序列化漏洞实现 Visual Studio 钓鱼攻击 原创 专攻.NET安全的 dotNet安全矩阵 2025-01-14 00:39 近期,网络安全从业人员间流传着一个引起广泛关注的事件:某提权工具被植入后门,导致工具使用者的身份信息和敏感数据遭到泄露。根据现有的信息,初步判断此次攻击背后可能是东南亚某APT组织——海莲花(Lotus Blossom)所为。 Visual
继续阅读macos高危漏洞CVE-2024-54498 解析+复现
macos高危漏洞CVE-2024-54498 解析+复现 原创 棉花糖糖糖 棉花糖fans 2025-01-13 19:23 前言: 前两天看到github有公开一个mac的cve,影响了15.2以下的版本,刚好我也用的mac,看看会不会影响到我,特抽时间看了一下,有搞错的地方麻烦大佬补充修改。 原理: 先说下前情提要,苹果的macos有个沙箱机制,每个应用都只能访问自己独立的沙箱数据,如果需要
继续阅读【漏洞预警】Vim缓冲区溢出漏洞可导致拒绝服务
【漏洞预警】Vim缓冲区溢出漏洞可导致拒绝服务 cexlife 飓风网络安全 2025-01-13 14:11 漏洞描述: Vim官方修复了Vim中的一处缓冲区溢出漏洞,该漏洞是由于Vim没有正确结束视觉模式,可能会尝试访问超出缓冲区行尾的位置,用户必须在执行 “:all” 命令时开启了视觉模式时才会触发此漏洞。针对此漏洞,官方已经发布9.1.1003版本,建议受影响用户及时升级到漏洞修复版本。
继续阅读Nuclei,一键发现99%的漏洞,白帽子都在私藏的扫描神器| |基于YAML模板的新一代漏洞扫描工具,让渗透测试效率提升10倍
Nuclei,一键发现99%的漏洞,白帽子都在私藏的扫描神器| |基于YAML模板的新一代漏洞扫描工具,让渗透测试效率提升10倍 原创 VlangCN HW安全之路 2025-01-13 13:50 Nuclei 是一款高效的漏洞扫描工具,用于检查现代应用程序、基础设施、云平台和网络,以帮助识别和修复可被利用的漏洞。 Nuclei 的核心是基于 YAML 模板 的设计。这些模板以简单明了的 YA
继续阅读【漏洞工具】某路由器任意文件读取漏洞Goby高级模式利用工具
【漏洞工具】某路由器任意文件读取漏洞Goby高级模式利用工具 原创 儒道易行 儒道易行 2025-01-13 12:00 人生其实就是一场必然的死亡练习,但是人类何尝因为注定要死亡而放弃奋斗呢 免责声明 该文章内容仅用于学习交流自查使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息、技术或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与
继续阅读识别漏洞成了大海捞针?
识别漏洞成了大海捞针? 原创 做安全的小明同学 大山子雪人 2025-01-13 11:04 2025.1月份的android公告,最大的变化就是少了漏洞对应patch的链接 没有了patch,就没法分析漏洞的成因,也就无从学起。也不知道漏洞什么时候修复的,什么时候commit到aosp的。头大,简直大海捞针。 由于不知道时间范围,只能挨个commit爬了 commit收集入口: https://
继续阅读GFI KerioControl 防火墙存在严重的RCE漏洞
GFI KerioControl 防火墙存在严重的RCE漏洞 THN 代码卫士 2025-01-13 10:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者们正在利用最近披露的 GFI KerioControl 防火墙中的一个漏洞 (CVE-2024-52875),如成功利用则可实现远程代码执行 (RCE)。 该漏洞是指回车换行(CRFL)攻击,可为HTTP响应截断攻击做铺垫
继续阅读每周网安资讯 (1.7-1.13)|Adobe多款产品存在越界读取漏洞
每周网安资讯 (1.7-1.13)|Adobe多款产品存在越界读取漏洞 交大捷普 2025-01-13 10:14 2024[ 每周网安资讯 ]1.7-1.13 网安资讯 1、我国牵头提出的国际标准《信息技术 信息安全事件管理 第4部分:协同》正式发布 近日,我国牵头提出的国际标准ISO/IEC 27035-4:2024《信息技术 信息安全事件管理 第4部分:协同》(Information tec
继续阅读成为看雪讲师,开启技术分享的高光时刻
成为看雪讲师,开启技术分享的高光时刻 小雪 看雪学苑 2025-01-13 10:07 随着技术的发展,网络攻击、数据泄露等安全威胁也日益严峻,网络安全问题已经成为全球关注的焦点。在这样的背景下,培养和储备优秀的网络安全人才显得尤为迫切。看雪作为网络安全领域的先行者,一直致力于网络安全人才的培养和教育。 看雪课程讲师招募计划启动!诚邀有志之士加入我们~ 成为看雪讲师,你将获得? 1、个人潜能挖掘、
继续阅读雷神众测漏洞周报2025.1.6-2025.1.12
雷神众测漏洞周报2025.1.6-2025.1.12 原创 雷神众测 雷神众测 2025-01-13 09:12 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读Lua项目下SSRF利用Redis文件覆盖lua回显RCE
Lua项目下SSRF利用Redis文件覆盖lua回显RCE 1315609050541697 神农Sec 2025-01-13 09:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://xz.aliyun.com/t/17034 作者:13156090505416
继续阅读【技术细节公开】Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)安全风险通告
【技术细节公开】Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)安全风险通告 奇安信 CERT 2025-01-13 08:25 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti 多款产品缓冲区溢出漏洞 漏洞编号 QVD-2025-1974,CVE-2025-0282 公开时间 2025-01-08 影响量级 十万级 奇安信评级 高危 CVSS 3
继续阅读贡献度排名第一!国舜股份积极支撑工信部车联网产品安全漏洞专业库
贡献度排名第一!国舜股份积极支撑工信部车联网产品安全漏洞专业库 国舜股份 2025-01-13 08:05 近日,工信部网络安全威胁和漏洞信息共享平台车联网产品安全漏洞专业库(NVDB-CAVD)2024年年终总结会成功召开,会上公布了2024年度技术支撑单位积分排名,国舜股份从一众厂商中脱颖而出,贡献度排名第一。 2024年度技术支撑单位积分排名 此排名是对各单位在 NVDB-CAVD一年支撑工
继续阅读2024年度智能网联汽车重点安全漏洞盘点
2024年度智能网联汽车重点安全漏洞盘点 原创 车联网安全实验室 山石网科安全技术研究院 2025-01-13 07:02 01 Telsa TMPS(胎压监测系统)远程命令执行漏洞 事件概述 在2024年Pwn2Own黑客大赛上,Synacktiv的网络安全研究人员David Berard和Thomas Imbert发现了特斯拉Model 3中的一个关键漏洞。该漏洞位于胎压监测系统(TPMS),
继续阅读DNA 测序仪漏洞标志着医疗器械行业固件存在问题
DNA 测序仪漏洞标志着医疗器械行业固件存在问题 原创 很近也很远 网络研究观 2025-01-13 06:36 Eclypsium 安全研究人员发现了 Illumina iSeq 100 DNA 测序仪中的 UEFI 漏洞,但更广泛的问题涉及整个设备开发过程。 在强调广泛使用的 DNA 基因测序设备中的漏洞时,安全研究人员进一步关注医疗设备行业可能存在的糟糕安全状况,该行业的硬件和固件开发通常根
继续阅读【赠书抽奖】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
【赠书抽奖】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! admin 白帽子飙车路 2025-01-13 05:35 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,H
继续阅读图形化漏洞利用Demo-JavaFX版
图形化漏洞利用Demo-JavaFX版 原创 Iuochen 网络安全杂记 2025-01-13 04:46 0x00 引言 这是一个专注于构建图形化漏洞利用工具的项目。项目目前已经搭建好了基本的框架结构,就像一座大厦已经建好了骨架,现在只需要往里面填充漏洞利用代码(exp)就可以了。这个项目的目标是助力安全人员迅速打造一个具备图形化界面并且能在多个平台使用的漏洞利用工具。 在众多的漏洞利用工具里
继续阅读【挖洞实战】这不是只要有手就能批量挖Dom Xss漏洞
【挖洞实战】这不是只要有手就能批量挖Dom Xss漏洞 原创 奥村燐 弥天安全实验室 2025-01-13 04:25 网安引领时代,弥天点亮未来 **** 0x00前言描述 我过去经常挖掘Dom Xss漏洞,因此写下了以下文章记录了整个过程。接下来,我计划将其改进为自动化挖掘。 0x01整体过程 假如我发现了一个网站,并想要挖掘其中的 Dom Xss 漏洞。 网站加载了一段 JavaScript
继续阅读DH POC撤稿之后还有后续……
DH POC撤稿之后还有后续…… 原创 4° 励行安全 2025-01-13 04:13 测绘平台也搜不到对应的特征了,也许是这个系统刚好用在了某些重要的地方,或者是相关部门想要借此事件对相关的法律法规进行完善补充,对行业的一些灰色地带进行明确要求也未可知。 总之,目前还是要谨言慎行,严格遵守相关法律法规
继续阅读