文件包含漏洞等你来看
文件包含漏洞等你来看 原创 Caigensec 菜根网络安全杂谈 2025-01-12 02:16 点击标题下「蓝色微信名」可快速关注 免责声明:本文仅用于合法范围的学习交流,若使用者将本文用于非法目的或违反相关法律法规的行为,一切责任由使用者自行承担。请遵守相关法律法规,勿做违法行为!本公众号尊重知识产权,如有侵权请联系我们删除。 01 文件包含漏洞介绍 1、漏洞简介 文件包含漏洞是指由于应用程
继续阅读标签: vx
2025年需要防范的五大恶意软件
2025年需要防范的五大恶意软件 跳舞的花栗鼠 FreeBuf 2025-01-12 02:01 2024年发生了多起引人注目的网络攻击,像戴尔和TicketMaster这样的大公司也都成为了数据泄露和其他基础设施攻击的受害者。到2025年,这样的趋势还将持续下去。 正所谓知己知彼百战百胜,为了能应对任何类型的恶意软件攻击,每个组织都需要提前做好功课,了解可能遇见的网络敌人。本文整理了5种常见的恶
继续阅读禅道CMS开源版SQL注入漏洞分析
禅道CMS开源版SQL注入漏洞分析 1629192581190874 神农Sec 2025-01-12 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://xz.aliyun.com/t/16976 作者:1629192581190874 0x1 前言介绍
继续阅读CISA紧急警告:Oracle与Mitel高危漏洞正被攻击者利用,企业需立即修复!
CISA紧急警告:Oracle与Mitel高危漏洞正被攻击者利用,企业需立即修复! Hankzheng 技术修道场 2025-01-12 00:51 近日,美国网络安全和基础设施安全局(CISA)发布紧急警告,提醒美国联邦机构注意Oracle WebLogic Server和Mitel MiCollab系统中的高危漏洞 ,这些漏洞已被攻击者积极利用 ,可能对系统安全造成严重威胁。 CISA已将Mi
继续阅读2024年度上海网络与信息安全测评工程技术研究中心开放课题申请指南
2024年度上海网络与信息安全测评工程技术研究中心开放课题申请指南 小编 安全学术圈 2025-01-12 00:42 上海网络与信息安全测评工程技术研究中心(以下简称“工程中心”)于2015年依托公安部第三研究所筹建,并于2017年底顺利通过筹建期的项目验收,是依托单位内部的二级机构。本工程中心组建目标是立足上海、辐射全国,围绕安全测评技术研发和验证,基于已有的传统网络信息安全测评基础和测评体系
继续阅读中信银行日照分行因“未及时处置数据安全漏洞风险”等被罚54万元
中信银行日照分行因“未及时处置数据安全漏洞风险”等被罚54万元 安全学习那些事儿 2025-01-11 23:03 2025年1月10日,中国人民银行日照市分行行政处罚决定信息公示表显示, 中信银行股份有限公司日照分行因四项违法行为类型,被警告,并罚款540000元。 违法行为类型如下: 1. 违反金融统计相关规定; 未按规定履行客户身份识别义务; 未及时处置数据安全漏洞风险; 未制定网络安全事件
继续阅读【实战小技巧系列】前端 JS 解密:一次简单高危漏洞案例
【实战小技巧系列】前端 JS 解密:一次简单高危漏洞案例 flower安全 2025-01-11 18:05 0x01前言 在一次项目中,不出意外的发现一处调用数据的地方,但是请求数据全部加密了,删除cookie后发现可以未授权,但是呢一次性调用也就只有九个,这个和预期的高危相差甚远。直接想办法,看看能不能解密这个请求包。既然前端显示的是明文数据,那么不用说,前端肯定存在解密的函数。或者说加解密都
继续阅读Chrome 扩展程序利用关键字操纵漏洞
Chrome 扩展程序利用关键字操纵漏洞 原创 很近也很远 网络研究观 2025-01-11 15:56 Wladimir Palant 最近的调查显示,许多 Chrome Web Store 扩展程序利用漏洞,通过使用误导性描述和不相关的关键字来操纵搜索排名。 这种策略用不相关或可疑的扩展程序扰乱搜索结果,而合法扩展程序则被埋没在不相关的列表中。 语言漏洞 这种操纵取决于 Chrome Web
继续阅读【安全产品】堡垒机-安全问题分析-漏洞复现
【安全产品】堡垒机-安全问题分析-漏洞复现 原创 仇辉 仇辉攻防 2025-01-11 12:39 前言 安全悖论——“守护者的隐忧” 在网络安全的世界里,安全产品本应是抵御攻击的第一道防线,为企业和用户提供可靠的保护。然而,近年来的诸多安全事件表明,安全产品本身并非天衣无缝,它们可能成为攻击者的突破口。攻击者通过利用安全产品的漏洞、设计缺陷或配置不当,不仅能够绕过防护措施,还可能利用这些产品作为
继续阅读【漏洞工具】某路由器任意文件读取漏洞Goby低级模式利用工具
【漏洞工具】某路由器任意文件读取漏洞Goby低级模式利用工具 原创 儒道易行 儒道易行 2025-01-11 12:01 能受天磨真铁汉,不遭人嫉是庸才 免责声明 该文章内容仅用于学习交流自查使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息、技术或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关,公众号儒道易行及作者不为此
继续阅读【安全圈】Ivanti VPN 零日漏洞正在被黑客利用
【安全圈】Ivanti VPN 零日漏洞正在被黑客利用 安全圈 2025-01-11 11:01 关键词 VPN Ivanti 公开披露了影响 Connect Secure (ICS) VPN 设备的两个关键漏洞:CVE-2025-0282 和 CVE-2025-0283。 网络安全公司 Mandiant 的报告称,CVE-2025-0282 零日漏洞利用活动开始于 2024 年 12 月中旬。这
继续阅读疑黑客出售国内某IT企业服务器访问权限,456GB数据遭泄露
疑黑客出售国内某IT企业服务器访问权限,456GB数据遭泄露 原创 网空闲话 网空闲话plus 2025-01-11 10:35 据BreachForums网站2025年1月10日消息,威胁行为者Skillz涉嫌向一家年收入达48亿美元的中国IT企业出售服务器访问权限。此次攻击通过利用易受攻击的系统,获取了目标公司的shell访问权限,并暴露了服务器上存储的456GB数据。目标公司业务涵盖网络安全
继续阅读基于大模型(LLM)的黑盒RCE漏洞挖掘
基于大模型(LLM)的黑盒RCE漏洞挖掘 原创 比心皮卡丘 暴暴的皮卡丘 2025-01-11 09:00 简介 远程代码执行(Remote Code Execution,RCE)漏洞是最危险的网络安全漏洞之一,攻击者可以通过此类漏洞远程执行任意代码,进而控制目标系统。由于RCE漏洞的危害性极大,因此发现和修复这些漏洞是网络安全领域的重要任务。传统的漏洞挖掘方法依赖于手动渗透测试和静态分析,效率较
继续阅读「漏洞复现」瑞友天翼应用虚拟化系统 GetPwdPolicy SQL注入漏洞
「漏洞复现」瑞友天翼应用虚拟化系统 GetPwdPolicy SQL注入漏洞 冷漠安全 冷漠安全 2025-01-11 05:05 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读【已复现】Ivanti Connect Secure 堆栈溢出致远程代码执行漏洞(CVE-2025-0282)
【已复现】Ivanti Connect Secure 堆栈溢出致远程代码执行漏洞(CVE-2025-0282) 长亭安全应急响应中心 2025-01-11 04:02 Ivanti Connect Secure(ICS) 是 Ivanti 公司旗下的一款企业级 SSL VPN 解决方案,支持远程安全接入、身份验证和访问控制等关键功能。2025 年 1 月,Ivanti 官方发布安全公告,修复了 I
继续阅读2024年网络空间安全漏洞态势分析研究报告
2024年网络空间安全漏洞态势分析研究报告 计算机与网络安全 2025-01-11 01:57 微信公众号计算机与网络安全 加入知识星球: 网络安全攻防(HVV) 下载文件**** | 来源: 天融信
继续阅读Google Project Zero 研究人员发现针对三星设备的零点击漏洞
Google Project Zero 研究人员发现针对三星设备的零点击漏洞 会杀毒的单反狗 军哥网络安全读报 2025-01-11 01:03 导读 网络安全研究人员详细介绍了目前已修补的安全漏洞,该漏洞影响三星智能手机上的Monkey Audio (APE) 解码器,可能导致代码执行。 该漏洞编号为CVE-2024-49415,CVSS 评分:8.1,影响运行 Android 12、13 和
继续阅读常见的网站安全漏洞视频课程
常见的网站安全漏洞视频课程 网络安全者 2025-01-10 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/b15250174e3f 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 个人微信:ivu123ivu 各 类 学 习 教 程 下 载 合 集 https://pan.quark.cn/s/8c91ccb5a4
继续阅读【安全圈】联合国航空机构确认招聘数据库存在安全漏洞
【安全圈】联合国航空机构确认招聘数据库存在安全漏洞 安全圈 2025-01-10 11:00 关键词 安全漏洞 联合国国际民用航空组织(ICAO)证实,一名威胁行为者在入侵其招聘数据库后窃取了约 42,000 条记录。 此前,国际民航组织周一宣布正在调查一起 “潜在的信息安全事件”。 虽然该联合国机构没有提供更多细节,但两天前,一个使用 “Natohub ”账号的威胁行为者在BreachForum
继续阅读Palo Alto Networks 修复退市 Migration Tool中的高危漏洞
Palo Alto Networks 修复退市 Migration Tool中的高危漏洞 Ionut Arghire 代码卫士 2025-01-10 09:59 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,Palo Alto Networks 公司修复了 Expedition 迁移工具中的多个漏洞,其中一个是高危级别,可导致敏感信息遭暴露。 这款免费工具此前被称为 “Migrat
继续阅读【已复现】大华智能物联综合管理平台 GetClassValue 远程代码执行漏洞
【已复现】大华智能物联综合管理平台 GetClassValue 远程代码执行漏洞 原创 应急团队 长亭安全应急响应中心 2025-01-10 06:35 大华智能物联综合管理平台是一款集设备接入管理、数据分析与应用部署为一体的物联网管理解决方案,广泛应用于安防、交通、工业和零售等领域。2025年1月,互联网披露大华智能物联综合管理平台的 GetClassValue 接口中存在远程代码执行漏洞(RC
继续阅读发现Web API漏洞居然能赚到400w刀
发现Web API漏洞居然能赚到400w刀 Z2O安全攻防 2025-01-10 04:09 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发放了超过3亿美元的奖励
继续阅读【漏洞预警】Apache OpenMeetings未授权 反序列化漏洞
【漏洞预警】Apache OpenMeetings未授权 反序列化漏洞 cexlife 飓风网络安全 2025-01-10 04:06 漏洞描述: Apache OpenMeetings是一个开源的网络会议软件,由TheApache Software Foundation创建并维护。Apache OpenMeetings发布安全公告,披露了一个未授权反序列化漏洞,该漏洞是由于OpenMeeti
继续阅读漏洞赏金方法 2025 版
漏洞赏金方法 2025 版 hai dragon 安全狗的自我修养 2025-01-10 03:25 图片创建者 大家好,我希望你们都为 2025 年漏洞赏金之旅做得很好,并有良好的动力。首先,我祝大家新年快乐 ,并祝愿大家在 2025 年获得更多的赏金。在这篇博客中,我们将发现 2025 年寻找错误的理想方法。每个人都有自己的方法来猎杀漏洞赏金目标,但我分享了一种方法,您可以按照自己的使用情况进
继续阅读【漏洞通告】Ivanti 多款产品缓冲区溢出漏洞安全风险通告
【漏洞通告】Ivanti 多款产品缓冲区溢出漏洞安全风险通告 嘉诚安全 2025-01-10 03:18 漏洞背景 近日,嘉诚安全监测到Ivanti多款产品中存在缓冲区溢出漏洞,漏洞编号为: CVE-2025-0282。 Ivanti Connect Secure,以前称为Pulse Connect Secure,是一款提供SSL VPN解决方案的产品,允许远程用户通过一个安全的通道访问企业资源,
继续阅读【漏洞通告】SonicOS SSLVPN 认证绕过漏洞安全风险通告
【漏洞通告】SonicOS SSLVPN 认证绕过漏洞安全风险通告 嘉诚安全 2025-01-10 03:18 漏洞背景 近日,嘉诚安全监测到SonicOS SSLVPN中存在一个认证绕过漏洞,漏洞编号为: CVE-2024-53704。 SonicOS SSLVPN是一款为中小企业设计的SSL VPN设备,旨在提供安全的远程访问解决方案,允许用户通过加密的网络连接安全地访问内部网络资源。 鉴于漏
继续阅读实战 | 攻防演练某x医院内网拿下集权
实战 | 攻防演练某x医院内网拿下集权 渗透安全团队 2025-01-10 03:16 前言 医院还是比较好打的 外网打点 通过目标某医院资产发现一个协同办公系统,这样登录界面(厚码保命) 登录没有验证码,admin变种字典爆破启动,经过很快获得正确密码adminxxx 然后找到文件上传设置,增加上传后缀 随便找一个上传点,传上去后访问失败,然后换免杀马,直接报500,随后想到
继续阅读Ignition工控系统反序列化漏洞(CVE-2020-10644)
Ignition工控系统反序列化漏洞(CVE-2020-10644) 原创 Timeless9436 菜鸟学渗透 2025-01-10 03:14 使用说明:本文章仅用于学习技术研究,请勿用于违法用途,造成任何后果自负与本人无关,请自觉遵守国家法律法规。 一、漏洞简介 gnition 是一套全面的工业自动化和数据集成平台,不仅支持跨平台使用,还提供了灵活的模块化设计。它集成了SCADA(监控控制与
继续阅读