Java反序列化漏洞之JNDI注入原理及利用IDEA漏洞复现
Java反序列化漏洞之JNDI注入原理及利用IDEA漏洞复现 原创 神农Sec 神农Sec 2024-11-29 01:38 扫码领资料 获网安教程 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 本篇文章我也是看过很多的博客写的,中间也遇到很多问题,JNDI注入漏洞的危害还是蛮高的。下面我们从RMI
继续阅读标签: vx
【技术分享】关于C-Lodop打印服务文件读取漏洞修复方式
【技术分享】关于C-Lodop打印服务文件读取漏洞修复方式 原创 剁椒Muyou鱼头 剁椒Muyou鱼头 2024-11-29 01:17 阅读须知 本公众号文章皆为网上公开的漏洞,仅供日常学习使用,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把剁椒Mu
继续阅读【漏洞复现】同享TXEHR V15人力管理管理平台信息泄露漏洞
【漏洞复现】同享TXEHR V15人力管理管理平台信息泄露漏洞 原创 清风 白帽攻防 2024-11-29 01:13 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 同享软件成立于1997年,总部位于东莞南城南新产业国际。公司致力于研发和推广人力资源信息化产
继续阅读微软修补四个漏洞,其中一些漏洞非常严重且已被广泛利用
微软修补四个漏洞,其中一些漏洞非常严重且已被广泛利用 会杀毒的单反狗 军哥网络安全读报 2024-11-29 01:00 导读 11月26日,微软发布了四个新的安全公告,修复四个安全漏洞。这些漏洞是在 Microsoft Copilot Studio、Partner.Microsoft.Com 门户、Azure PolicyWatch 和 Dynamics 365 Sales 中检测到的。 Mic
继续阅读全球 | 近40个【大模型】相关安全【漏洞】曝光
全球 | 近40个【大模型】相关安全【漏洞】曝光 安小圈 2024-11-29 00:46 安小圈 第556期 全球 大模型【安全漏洞】 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用背后,也带来诸多新的风险和挑战。 近日,360数字安全集团发布全球首份《大模型
继续阅读资产管理运营系统mobilefront2接口处存在前台文件上传漏洞【漏洞复现|附nuclei-POC】
资产管理运营系统mobilefront2接口处存在前台文件上传漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2024-11-29 00:30 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 资产管理运营系统mobilefront2
继续阅读漏洞预警 | TamronOS IPTV系统任意用户创建漏洞
漏洞预警 | TamronOS IPTV系统任意用户创建漏洞 浅安 浅安安全 2024-11-29 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 TamronOS IPTV系统是一款基于Linux内核开发的直播和点播一体化解决方案,广泛应用于宽带运营商、酒店、学校等场景。 0x03 漏洞详情 漏洞类型: 任意用户创建 影响:
继续阅读漏洞预警 | 任我行协同CRM普及版SQL注入漏洞
漏洞预警 | 任我行协同CRM普及版SQL注入漏洞 浅安 浅安安全 2024-11-29 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 任我行协同CRM普及版是由成都市任我行信息技术有限公司开发的一款客户关系管理软件。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 任我行协同CRM普及版的
继续阅读漏洞预警 | 辰信景云终端安全管理系统SQL注入漏洞
漏洞预警 | 辰信景云终端安全管理系统SQL注入漏洞 浅安 浅安安全 2024-11-29 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 辰信景云终端安全管理系统通过统一的安全管理平台,整合多种终端防护技术,覆盖终端资产管理、病毒防护、补丁修复、安全审计等功能,全面保护企业的终端设备免受安全威胁。 0x03 漏洞详情 漏洞类
继续阅读构建 Spectre:用于 XSS 漏洞利用的红队工具(第 1 部分)
构建 Spectre:用于 XSS 漏洞利用的红队工具(第 1 部分) haidragon 安全狗的自我修养 2024-11-28 23:12 介绍 每个红队成员都有他们最喜欢的工具集,但有时当它们都没有完全满足你的需求时,你会碰壁。这就是我在处理基于浏览器的攻击时发现自己遇到的情况,尤其是围绕 XSS 利用的攻击。有很好的工具可以查找 XSS 漏洞,但我想要一些可以快速、动态和交互式地显示影响
继续阅读【0Day】圣乔ERP系统name*存在SQL注入漏洞
【0Day】圣乔ERP系统name*存在SQL注入漏洞 原创 xiachuchunmo 银遁安全团队 2024-11-28 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 *圣乔 ERP系统是杭州圣乔科技有限公司开发的一款企业级管理软件,旨在为企业提供一套全面、集成化的管理解决方案,帮助企业实现资源的优化配置和高效利用。该系统集成了财务
继续阅读Nacos2.4.3新版漏洞利用方式总结
Nacos2.4.3新版漏洞利用方式总结 船山信安 2024-11-28 16:37 ilter分析寻找未授权接口 HttpRequestContextFilter 获取请求头信息, AuthFilter 获取uri,token,权限控制 ParamCheckerFilter 处理参数,过滤恶意字符 AuthFilter, 请求头如果存在jwt秘钥,那么就进入下个filter, 如果配置了naco
继续阅读万能门店小程序管理系统_requestPost接口存在任意文件读取漏洞 附POC
万能门店小程序管理系统_requestPost接口存在任意文件读取漏洞 附POC 2024-11-28更新 南风漏洞复现文库 2024-11-28 15:29 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 万能门店小程序管理系统简介
继续阅读漏洞推送|万能门店小程序管理系统 requestPost存在任意文件读取漏洞
漏洞推送|万能门店小程序管理系统 requestPost存在任意文件读取漏洞 小白菜安全 小白菜安全 2024-11-28 14:07 漏洞描述 万能门店小程序管理系统 requestPost存在任意文件读取漏洞,攻击者可以利用此漏洞获取系统敏感信息。 资产信息 fofa:body=”/com/css/head_foot.css” || body=”/com/c
继续阅读Altenergy电力系统控制软件 status_zigbee SQL注入漏洞(CVE-2024-11305)
Altenergy电力系统控制软件 status_zigbee SQL注入漏洞(CVE-2024-11305) Superhero nday POC 2024-11-28 13:48 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行
继续阅读必应主站www.bing.com惊现蠕虫XSS漏洞
必应主站www.bing.com惊现蠕虫XSS漏洞 原创 一个不正经的黑客 一个不正经的黑客 2024-11-28 13:31 必应主站www.bing.com惊现蠕虫XSS漏洞 研究计划 我的主要目标是识别微软某一Web产品中的XSS漏洞,这一漏洞可能被利用,通过向将受害域列为允许来源的应用程序发送请求,从而对其他微软应用程序发起攻击。 一个有效的侦察方法是对多个微软应用程序中允许的域名及其子域
继续阅读【工具推荐】springboot打点工具,内置目前springboot所有漏洞
【工具推荐】springboot打点工具,内置目前springboot所有漏洞 wh1t3zer Z2O安全攻防 2024-11-28 13:28 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习
继续阅读利用gitRepo卷在Node上RCE(CVE-2024-10220)
利用gitRepo卷在Node上RCE(CVE-2024-10220) 原创 李坦然 安全小将李坦然 2024-11-28 13:18 1 背景 在 Kubernetes 中,gitRepo 卷驱动允许用户通过 URL 指定一个 Git 仓库,Kubelet 会克隆该仓库,并将其内容挂载到 Pod 中。该驱动早已被标记为废弃 (死缓,一直未移除),但仍然存在于 Kubernetes 的默认安装中。
继续阅读【漏洞预警】Zabbix SQL注入漏洞(CVE-2024-42327)
【漏洞预警】Zabbix SQL注入漏洞(CVE-2024-42327) cexlife 飓风网络安全 2024-11-28 13:17 漏洞描述: Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等,Zabbix中修复了一个SQL注入漏洞(CVE-2024-42327),该漏洞的CVSS评分为9.9,Zabbix前端的C
继续阅读新书发售抢先看:《Web漏洞分析与防范实战(卷1)》
新书发售抢先看:《Web漏洞分析与防范实战(卷1)》 知道创宇404实验室 2024-11-28 11:26 1 文末有赠书福利~ ” 在过去的三十年里,Web技术经历了迅猛的发展,其影响力已经深入到公共和个人生活的方方面面。全球数以亿计的用户依赖于Web技术来获取信息、进行交易、社交互动以及娱乐活动。尽管万维网的开放性和互联性促进了信息的自由流通,但这些特性也使其成为了黑客攻击的目标。 每年,W
继续阅读漏洞预警 | 7-Zip代码执行漏洞CVE-2024-11477
漏洞预警 | 7-Zip代码执行漏洞CVE-2024-11477 永恒之锋实验室 Eonian Sharp 2024-11-28 10:50 1 漏洞描述 7-Zip是一款免费的开源文件压缩和解压工具,支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式,7-Zip中修复了一个代码执行漏洞(CVE-2024-11477),该漏洞的CVSS评分为7.8。 7-Zip Zs
继续阅读漏洞盒子 x 汽车之家SRC | 漏洞盒子「企业SRC」新住客
漏洞盒子 x 汽车之家SRC | 漏洞盒子「企业SRC」新住客 漏洞盒子 漏洞盒子 2024-11-28 10:33 滴嘟滴嘟——! 挖蛙含泪提醒: 天气进入速冻模式,家人们多添衣服注意保暖! 但在这个冬日,又迎来了温暖人心的消息 新伙伴汽车之家SRC入驻盒子平台啦! 现在正诚邀广大白帽反馈漏洞, 为安全加足马力! 来不及了,快上车! 01 关于汽车之家 中国领先汽车垂直网站 汽车之家成立于200
继续阅读知名压缩软件被曝严重漏洞,谁会成为受害者?
知名压缩软件被曝严重漏洞,谁会成为受害者? 奇安信集团 2024-11-28 10:08 近日,主流文件压缩工具7-Zip被曝存在一个严重安全漏洞,攻击者可以利用该漏洞在当前进程上下文执行代码,可能导致攻击者获取与登录用户相同的访问权限,实现完全的系统绕过。该漏洞编号为CVE-2024-11477,CVSS评分7.8分,表明受影响版本的用户面临重大安全风险。 目前,7-Zip已在24.07版本中修
继续阅读【漏洞通告】Zabbix 服务器SQL注入漏洞(CVE-2024-42327)
【漏洞通告】Zabbix 服务器SQL注入漏洞(CVE-2024-42327) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-11-28 10:01 漏洞名称: Zabbix 服务器sql注入漏洞 (CVE-2024-42327) 组件名称: Zabbix 影响范围: 6.0.0 ≤ Zabbix < 6.0.32rc16.4.0 ≤ Zabbix < 6.4.17rc1Zabb
继续阅读史上最高漏洞赏金计划出炉:单个漏洞最多奖励1.1亿元
史上最高漏洞赏金计划出炉:单个漏洞最多奖励1.1亿元 安全内参编译 安全内参 2024-11-28 09:58 关注我们 带你读懂网络安全 Uniswap Labs声称这将是“史上最高的漏洞赏金”,目前有记录的单个漏洞最高赏金记录是Web3漏洞赏金平台Immunefi声称支付的1.07亿元。 前情回顾·漏洞奖励计划动态 – 微软2024财年发放了约1.2亿元漏洞赏金:平均每个漏洞8.6
继续阅读开源文件共享软件存在严重漏洞CVE-2024-11680,已有公开的PoC
开源文件共享软件存在严重漏洞CVE-2024-11680,已有公开的PoC 原创 棉花糖糖糖 棉花糖fans 2024-11-28 09:55 编者荐语: 新开的号,以后新闻、情报乱七八糟的将会在新号发,还会再开一个工具号专门发工具,fans这个号将只用来给大家分享一些娱乐向的内容 CVE-2024-11680 CVE-2024-11680 根据VulnCheck的报告,开源文件共享应用程序Pro
继续阅读黑客利用 ProjectSend 严重漏洞攻击服务器
黑客利用 ProjectSend 严重漏洞攻击服务器 Bill Toulas 代码卫士 2024-11-28 09:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者们正在利用ProjectSend 中的一个严重认证绕过漏洞,上传 webshell 并获得对服务器的远程访问权限。该漏洞的编号是CVE-2024-11680,是一个影响 ProjectSend r1720 之前版本
继续阅读创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测
创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-11-28 09:31 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态
继续阅读macOS 磁盘仲裁中的 TOCTOU 漏洞可通过利用符号链接进行沙箱逃逸和权限升级攻击
macOS 磁盘仲裁中的 TOCTOU 漏洞可通过利用符号链接进行沙箱逃逸和权限升级攻击 Ots安全 2024-11-28 09:06 网址 https://nvd.nist.gov/vuln/detail/CVE-2024-44175 目标 – macOS 14.x < 14.7.1 解释 CVE-2024-44175是diskarbitrationdmacOS中的TOCTOU
继续阅读