一图了解「漏洞攻防安全」安全范儿技术沙龙
一图了解「漏洞攻防安全」安全范儿技术沙龙 下周五见 字节跳动安全中心 2024-03-14 18:11 3.22日-14点 ·火山直播 站在研发视角挖掘车联网漏洞 LLM大模型在安全左移的应用场景 大语言模型Prompt攻防实践 扫描器的POC开发演变之路 (文末抽奖) 互动有奖 转发文章即可参与抽奖,安全范儿定制背包 直播预约地址: https://live.byteoc.com/2267/se
继续阅读标签: vx
Fortinet 提醒注意端点管理软件中的严重RCE漏洞
Fortinet 提醒注意端点管理软件中的严重RCE漏洞 SERGIU GATLAN 代码卫士 2024-03-14 17:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet 修复了位于 FortiClient Enterprise Management Server (EMS) 软件中的一个严重漏洞,可导致攻击者在易受攻击的服务器上获得远程代码执行 (RCE)。 For
继续阅读【云原生攻防研究】— runC再曝容器逃逸漏洞(CVE-2024-21626)
【云原生攻防研究】— runC再曝容器逃逸漏洞(CVE-2024-21626) 原创 创新研究院 绿盟科技研究通讯 2024-03-14 17:04 一. 漏洞背景及介绍 RunC是一个基于OCI标准的轻量级容器运行时工具,用来创建和运行容器,该工具被广泛应用于虚拟化环境中,然而不断披露的逃逸漏洞给runC带来了严重的安全风险,如早期的CVE-2019-5736、CVE-2021-30465。就
继续阅读黑客利用 Windows SmartScreen 漏洞投放 DarkGate 恶意软件
黑客利用 Windows SmartScreen 漏洞投放 DarkGate 恶意软件 安全客 2024-03-14 14:53 DarkGate 恶意软件操作发起的新一波攻击利用现已修复的 Windows Defender SmartScreen 漏洞来绕过安全检查并自动安装虚假软件安装程序。SmartScreen 是一项 Windows 安全功能,当用户尝试运行从 Internet 下载的无法
继续阅读2024-03微软漏洞通告
2024-03微软漏洞通告 火绒安全 火绒安全 2024-03-14 10:46 微软官方发布了 2024年03月的安全更新。本月更新公布了64个漏洞,包含24个特权提升漏洞、18个远程执行代码漏洞、6个拒绝服务漏洞、6个信息泄露漏洞、3个安全功能绕过漏洞、2个身份假冒漏洞、1个篡改漏洞,其中2个漏洞级别为“Critical”(高危),58个为“Important”(严重)。建议用户及时使用火绒安
继续阅读浅谈渗透漏洞思路分享-水平越权
浅谈渗透漏洞思路分享-水平越权 迪哥讲事 2024-03-13 22:45 漏洞思路分享-水平越权 不秃头的安全 记一次外出渗透项目的水平越权漏洞记录分享,本人安全技术的一名小学生,仍在学习中,大佬有意见可指点,不喜勿喷,感谢指点!!! 1 漏洞描述 由于应用系统中Id参数可控并未经校验导致信息被越权修改,攻击者可通过遍历Id参数批量删除、更改其他用户数据。 2 漏洞记录 (1).一个购物服务平台
继续阅读谷歌2023年共发放1000万美元漏洞奖励
谷歌2023年共发放1000万美元漏洞奖励 Bill Toulas 代码卫士 2024-03-13 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 2023年,谷歌共向来自68个国家的632名研究员发放了1000万美元的奖励,表彰他们为谷歌发现并负责任报送产品和服务漏洞。 尽管要比2022年所发放的1200万美元要低,但总额仍然很多,表明了社区对谷歌安全的高度参与性。2023年谷
继续阅读2024-03 补丁日: 微软多个漏洞安全更新通告
2024-03 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2024-03-13 14:07 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-740 报告来源:360CERT 报告作者:360CERT 更新日期:2024-03-13 1 漏洞简述 2024年03月13日,360CERT监测发现Microsoft发布了2024年3月安全更新,事件等级:严
继续阅读微软2024年3月补丁日多个产品安全漏洞风险通告
微软2024年3月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2024-03-13 10:06 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年3月补丁日多个产品安全漏洞 影响产品 SQL Server、Microsoft Office、Windows Defender等。 公开时间 2024-3-13 影响对象数量级 千万级 奇安信评级 高危 利用可能性
继续阅读弹出生成器WordPress插件漏洞利用
弹出生成器WordPress插件漏洞利用 THN 知机安全 2024-03-13 09:58 A new malware campaign is leveraging a high-severity security flaw in the Popup Builder plugin for WordPress to inject malicious JavaScript code. 一项新的恶意软
继续阅读抓包学的好,劳饭吃的饱,利用Burp Suite插件进行自动化漏洞挖掘【附完整代码】
抓包学的好,劳饭吃的饱,利用Burp Suite插件进行自动化漏洞挖掘【附完整代码】 Sec探索者 2024-03-13 09:53 需求分析 测试sql基本注入的载荷,在可能有sql发送测试包,目前只测试url中的,并可以根据错误回显判断出数据库类型,需要有用户界面,可以加载到Burp的Extensions模块 环境准备:Jython BurpSuite 是使用 Java 编程语言编写的,所以想
继续阅读Ultimate Member Plugin 漏洞致 10 万个 WordPress 网站遭受攻击
Ultimate Member Plugin 漏洞致 10 万个 WordPress 网站遭受攻击 SOC 赛欧思安全研究实验室 2024-03-13 09:30 – 意大利数据监管机构对Sora展开调查 网安并购 | 拟出资19亿元,控股国盾量子 网络攻击导致莱斯特市政府 IT系统和电话瘫痪 又是一天,英国的一个地方议会又遭到了网络攻击!莱斯特市议会正在努力应对网络攻击,这对居民造成
继续阅读【高危漏洞】 北京亿赛通电子文档安全管理系统存在SQL注入漏洞
【高危漏洞】 北京亿赛通电子文档安全管理系统存在SQL注入漏洞 皓月当空w 2024-03-13 09:14 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞早知道 漏洞名称:北京亿赛通电子文档安全管理系统存在SQL注入漏洞 漏洞出现时间:2024年3月13日 影响等级:高危 漏洞说明: 北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据
继续阅读Microsoft 发布2024年3月补丁日安全更新,修复了60个漏洞,包括18个RCE
Microsoft 发布2024年3月补丁日安全更新,修复了60个漏洞,包括18个RCE 军哥网络安全读报 2024-03-13 09:00 导读 今天是微软2024年3月补丁日,微软发布了针对60个漏洞的安全更新,其中包括18个远程代码执行漏洞。 本月补丁仅修复了两个严重级别漏洞:Hyper-V 远程代码执行漏洞和拒绝服务漏洞。 按漏洞类别统计: – 24个特权提升漏洞 3个安全功能
继续阅读小白学习日记:路径穿越漏洞
小白学习日记:路径穿越漏洞 原创 隐雾安全 隐雾安全 2024-03-13 09:00 No.0 简介 路径穿越其实就是目录遍历,它可以让攻击者查看运行了存在此漏洞的应用的服务器上的任意文件,包括 程序代码、数据 后台系统凭证 敏感的操作系统文件 在某些情况下还可能允许攻击者上传文件到任意目录下(比如文件上传漏洞同时存在路径穿越),从而使得攻击者可以修改服务器的配置文件,甚至最终完全控制服务器。
继续阅读[0day]FLIR-FLIR-AX8某接口存在任意文件读取
[0day]FLIR-FLIR-AX8某接口存在任意文件读取 qT 晴天安全 2024-03-13 08:55 0x01 漏洞简述 — FLIR-AX8是美国菲力尔公司(Teledyne FLIR)旗下的一款工业红外热像仪AX8,英文名为Teledyne FLIR AX8 thermal sensor cameras。菲力尔公司专注于设计、开发、生产、营销和推广用于增强态势感知力的专业技术,通过热
继续阅读weiphp5.0 scan_callback 代码执行漏洞
weiphp5.0 scan_callback 代码执行漏洞 原创 揽月 揽月安全团队 2024-03-13 08:50 漏洞简介 SPRING HAS ARRIVED weiphp5.0 scan_callback 存在代码执行漏洞 漏洞复现 SPRING HAS ARRIVED 第一步、使用以下fofa语句进行资产收集…确认测试目标 fofa语句 (body="conte
继续阅读CVE-2024-21413:Microsoft Outlook远程代码执行漏洞
CVE-2024-21413:Microsoft Outlook远程代码执行漏洞 noobsec 安全小白团 2024-03-13 08:31 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 背景 安全小白团 当与 CVE-2023-21716 组合时,微软 Outlook 泄露凭据和远程代码执行漏洞。Outlook 应该
继续阅读About一个高价值漏洞采集与推送服务
About一个高价值漏洞采集与推送服务 zema1 黑客白帽子 2024-03-13 08:01 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 众所周知,CVE 漏洞库中 99% 以上的漏洞只是无现实意义的编号。我想集中精力看下当下需要关注的高价值漏洞有哪些,而不是被各类 RSS 和公众号的 威胁情报 淹没。于
继续阅读漏洞预警 | Fortinet FortiOS & FortiProxy越界写入漏洞
漏洞预警 | Fortinet FortiOS & FortiProxy越界写入漏洞 浅安 浅安安全 2024-03-13 08:00 0x00 漏洞编号 – # CVE-2024-21762 0x01 危险等级 – 高危 0x02 漏洞概述 Fortinet FortiOS是美国飞塔公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防
继续阅读漏洞预警 | QNAP NAS身份验证缺失漏洞
漏洞预警 | QNAP NAS身份验证缺失漏洞 浅安 浅安安全 2024-03-13 08:00 0x00 漏洞编号 – # CVE-2024-21899 0x01 危险等级 – 高危 0x02 漏洞概述 QNAP NAS是指威联通NAS,威联通专注于文件共享、存储管理、虚拟化和云服务的硬件系统,以及家庭和企业的监控应用程序。 0x03 漏洞详情 CVE-2024-2189
继续阅读漏洞预警 | 畅捷通T+ SQL注入漏洞
漏洞预警 | 畅捷通T+ SQL注入漏洞 浅安 浅安安全 2024-03-13 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 畅捷通T+是一款主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 命令执行 简述:
继续阅读Tomcat系列漏洞之五——AJP协议文件读取漏洞(CVE-2020-1938)
Tomcat系列漏洞之五——AJP协议文件读取漏洞(CVE-2020-1938) 原创 simeon的文章 小兵搞安全 2024-03-13 07:00 5.1漏洞简介 1.漏洞简介 2020年,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Tomcat 中的文件读取/包含漏洞,并第一时间提交厂商修复。 2月14日,Apache Tomcat 官方发布安全更新版本,修复漏洞。2月20日,
继续阅读WordPress插件Bricks Builder存在RCE漏洞(CVE-2024-25600)
WordPress插件Bricks Builder存在RCE漏洞(CVE-2024-25600) TKing的安全圈 2024-03-12 23:16 本次代码审计项目为PHP语言,我将继续以漏洞挖掘者的视角来分析漏洞的产生,调用与利用….. 前方高能,小伙伴们要真正仔细看咯….. 漏洞简介 CVE-2024-25600 是一个严重的(CVSS 评分 9.8)远程代码执行
继续阅读金蝶EAS /easportal/tools/appUtil.jsp 任意文件上传/下载漏洞
金蝶EAS /easportal/tools/appUtil.jsp 任意文件上传/下载漏洞 TKing的安全圈 2024-03-12 23:16 公众号技术文章仅供诸位网络安全工程师对自己所管辖的网站、服务器、网络进行检测或维护时参考用,公众号的检测工具仅供各大安全公司的安全测试员安全测试使用。未经允许请勿利用文章里的技术资料对任何外部计算机系统进行入侵攻击,公众号的各类工具均不得用于任何非授权
继续阅读SpringBlade list接口存在SQL注入漏洞 附POC软件
SpringBlade list接口存在SQL注入漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-03-12 22:05 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. SpringBlade简介 微信公众号搜索:南风漏洞复现
继续阅读WatchVuln 高价值漏洞采集与推送
WatchVuln 高价值漏洞采集与推送 zema1 猪猪谈安全 2024-03-12 21:00 项目地址 https://github.com/zema1/watchvuln?tab=readme-ov-file 众所周知,CVE 漏洞库中 99% 以上的漏洞只是无现实意义的编号。我想集中精力看下当下需要关注的高价值漏洞有哪些,而不是被各类 RSS 和公众号的 威胁情报 淹没。于是写了这个小
继续阅读【漏洞预警】Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403)
【漏洞预警】Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403) cexlife 飓风网络安全 2024-03-12 20:15 漏洞描述: Progress OpenEdge是一个应用程序开发和部署平台套件,OpenEdge Authentication Gateway (OEAG) 身份验证网关可通过强化 OpenEdge 应用程序环境的安全性来确保可信身份管理,近
继续阅读WEB漏洞扫描工具 – GHR
WEB漏洞扫描工具 – GHR GSDK安全团队 2024-03-12 19:10 01 项目地址 https://github.com/spmonkey/GHR 02 项目介绍 Golden-hooped Rod是一款用于web站点进行漏洞扫描的工具 使用方法: usage: GHR.py [-h] [-u URL] [-f filename] [–upgrade] [–nodi
继续阅读