RCE
RCE 迪哥讲事 2025-04-12 21:01 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4132 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 今天和大家分享一个国外白帽子在一个私有赏金项目上有趣
继续阅读标签: XSS
渗透测试-非寻常漏洞案例
渗透测试-非寻常漏洞案例 bcloud 实战安全研究 2025-04-12 02:01 前言 在渗透测试中挖掘到许多不一样的漏洞,在常见的渗透测试案例中非常稀少,即使是SRC中也很少见,这么久也没遇到过几次,所以在这里分享一下,亲身经历挖掘到的其中的几个比较奇奇怪怪的漏洞。 奇异签约漏洞 看过月神的都清楚,签约漏洞的逻辑概念,这里就不多说了,不懂可以去B站看一下月神的课。但是在挖掘的时候,我发现除
继续阅读CNCERT:关于Foxmail邮件客户端存在跨站脚本攻击漏洞的安全公告
CNCERT:关于Foxmail邮件客户端存在跨站脚本攻击漏洞的安全公告 安全内参 2025-04-12 01:23 安全公告编号:CNTA-2025-0007 2025年3月20日,国家信息安全漏洞共享平台(CNVD)收录了Foxmail邮件客户端跨站脚本攻击漏洞(CNVD-2025-06036)。攻击者利用该漏洞作为攻击入口,向目标用户对象发送包含恶意代码的电子邮件,用户仅浏览邮件即被植入木马
继续阅读ZZCMS最新跨站脚本漏洞及解决办法(CNVD-2025-05384、CVE-2025-1949)
ZZCMS最新跨站脚本漏洞及解决办法(CNVD-2025-05384、CVE-2025-1949) 原创 护卫神 护卫神说安全 2025-04-11 15:36 ZZCMS 是一款基于 PHP + MySQL 的内容管理系统,主要用于快速搭建招商网站,可快速搭建:医药招商、保健品招商、化妆品招商、农资招商、孕婴童招商、酒类副食类等招商网站。 它以简洁、高效和安全为特点,适合企业、个人及开发者使用。
继续阅读安全威胁情报周报(2025/04/05-2025/04/11)
安全威胁情报周报(2025/04/05-2025/04/11) 观安无相实验室 2025-04-11 09:02 #本期热点 0 1 热点安全事件 微软在安全公告上感谢勒索软件组织EncryptHub Oracle 因涉嫌云泄露事件被起诉,影响数百万美元 Sec-Gemini v1 – 谷歌发布了网络安全新 AI 模型 新型恶意软件威胁 Android 通话,号码替换引发信息安全危机 ChatGP
继续阅读【漏洞预警】Foxmail邮件客户端存在跨站脚本攻击漏洞,建议立即升级防护!
【漏洞预警】Foxmail邮件客户端存在跨站脚本攻击漏洞,建议立即升级防护! 原创 52 易云安全应急响应中心 2025-04-11 07:28 漏洞预警 共/筑/网/络/安/全 1、漏洞描述 近日,易云科技监测到一则Foxmail邮件客户端跨站脚本攻击 漏洞。 Foxmail是我国知名电子邮件客户端之一,其上市时间自1997年第一版公测开始至今已28年,Foxmail电子邮件客户端在2005年3
继续阅读打造自己专属的漏洞赏金搜索引擎
打造自己专属的漏洞赏金搜索引擎 迪哥讲事 2025-04-10 22:53 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ 前言 你是否想过使用 Google 和 Bing 来收获漏洞赏金?!你
继续阅读【安全圈】Adobe 紧急发布安全更新,修复十二款产品多项漏洞
【安全圈】Adobe 紧急发布安全更新,修复十二款产品多项漏洞 安全圈 2025-04-10 19:00 关键词 安全漏洞 Adobe 已发布了一套全面的安全更新,用于修复旗下十二款产品中存在的多个漏洞。 这些补丁均于 2025 年 4 月 8 日发布,旨在解决严重、重要及中等程度的安全缺陷,这些缺陷可能会使用户面临各种网络威胁,包括任意代码执行、权限提升以及应用程序拒绝服务攻击。 已修复的重大漏
继续阅读CISA:速修复已遭利用的 CentreStack 和 Windows 0day漏洞
CISA:速修复已遭利用的 CentreStack 和 Windows 0day漏洞 Ionut Arghire 代码卫士 2025-04-10 18:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,CISA督促组织机构紧急修复Gladinet CentreStack 和微软 Windows 中的两个0day 漏洞。 CVE-2025-30406(CVSS评分9)是 Gladi
继续阅读关于Foxmail邮件客户端存在跨站脚本攻击漏洞的安全公告
关于Foxmail邮件客户端存在跨站脚本攻击漏洞的安全公告 原创 CNVD CNVD漏洞平台 2025-04-10 17:45 安全公告编号:CNTA-2025-0007 2025年3月20日,国家信息安全漏洞共享平台(CNVD)收录了Foxmail邮件客户端跨站脚本攻击漏洞(CNVD-2025-06036)。攻击者利用该漏洞作为攻击入口,向目标用户对象发送包含恶意代码的电子邮件,用户仅浏览邮件即
继续阅读一行代码引发的灾难:PHP文件包含漏洞全面剖析与防御
一行代码引发的灾难:PHP文件包含漏洞全面剖析与防御 原创 VlangCN HW安全之路 2025-04-08 20:21 在Web安全领域,文件包含漏洞(File Inclusion)是一种常见但危害严重的安全缺陷。今天我们深入浅出地讲解本地文件包含漏洞(LFI)的原理、利用方式和防御措施,帮助开发者构建更安全的应用程序。 什么是LFI漏洞? LFI(Local File Inclusion),
继续阅读赏金$10000的漏洞
赏金$10000的漏洞 迪哥讲事 2025-04-07 21:47 背景 本次分享一个最近认为非常有趣的漏洞,该漏洞最终获得10000刀换算为人民币大概7w多的现金奖励。 漏洞原理并不复杂,胜在细心,You Do You can 的水平。 正文 前段时间,我在寻找 Google 的研究目标时,翻阅了内部 People API(Staging)发现文档,直到注意到一些有趣的内容: "
继续阅读上周关注度较高的产品安全漏洞(20250331-20250406)
上周关注度较高的产品安全漏洞(20250331-20250406) 原创 CNVD CNVD漏洞平台 2025-04-07 17:32 一、境外厂商产品漏洞 1、IBM Security Verify Access信息泄露漏洞(CNVD-2025-06210) IBM Security Verify Access(ISAM)是美国国际商业机器(IBM)公司的一款提高用户访问安全的服务。该服务通过使
继续阅读一款基于deepseek智能化代码审计工具,支持多语言代码安全分析,帮助开发者快速定位潜在漏洞。
一款基于deepseek智能化代码审计工具,支持多语言代码安全分析,帮助开发者快速定位潜在漏洞。 黑白之道 2025-04-05 21:41 工具介绍 DeepAudit 是一款基于 Python 和 Tkinter 开发的代码审计工具,旨在帮助开发者自动分析项目代码,检测潜在的安全漏洞。该工具通过调用 DeepSeek API,对代码进行深入分析,并将结果以直观的界面展示给用户。同时,支持将漏洞
继续阅读谷歌修复GCP Cloud Run 中的提权漏洞
谷歌修复GCP Cloud Run 中的提权漏洞 Kevin Townsend 代码卫士 2025-04-03 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员披露了位于谷歌云平台 (GCP) Cloud Run 中一个已修复的提权漏洞。该漏洞本可导致恶意人员访问容器镜像甚至注入恶意代码。 Tenable 公司的安全研究员 Liv Matan 在报告中提到,“该漏洞
继续阅读【SRC实战】支付逻辑漏洞挖掘
【SRC实战】支付逻辑漏洞挖掘 小安 迪哥讲事 2025-04-01 23:07 前言 记录一次支付逻辑漏洞挖掘,这个支付漏洞很细,能挖出来需要十分细心和耐心,一点点看数据包,不然真的非常容易漏下,实际上这个漏洞的出现就是由于在确定订单价格时,后端数据校验缺失导致的。 这是一个新能源汽车充电小程序,出现问题的功能时购买电池的功能点,一开始选择购电,可以选择购买30度,50度,80度。不同电量对应了
继续阅读网络安全—Web常见的漏洞描述与修复方案
网络安全—Web常见的漏洞描述与修复方案 网安探索员 网安探索员 2025-03-31 20:00 原文链接:https://www.hackbase.net/security/web/263198.html 常见的Web漏洞描述与修复方案: 1.SQL注入 漏洞描述 当应用程序使用输入内容来构造动态 SQL 语句以访问数据库时,如果对输入的参数没有进行严格的过滤或者过滤不完整将会导致 SQL 注
继续阅读deepseek本地部署工具—ollama任意文件读取漏洞复现
deepseek本地部署工具—ollama任意文件读取漏洞复现 原创 a1batr0ss 天翁安全 2025-03-31 18:26 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权,严禁将公
继续阅读每周网安资讯 (3.25-3.31)|Zte Goldendb存在特权管理不恰当漏洞
每周网安资讯 (3.25-3.31)|Zte Goldendb存在特权管理不恰当漏洞 交大捷普 2025-03-31 18:15 2024[ 每周网安资讯 ]3.25-3.31 网安资讯 1、国家密码管理局就《电子认证服务使用密码管理办法(征求意见稿)》公开征求意见 为了规范电子认证服务使用密码行为,保障电子认证服务使用密码安全,根据《中华人民共和国电子签名法》、《中华人民共和国密码法》和《商用密
继续阅读OpenResty/lua-nginx-module HEAD 请求中的 HTTP 请求走私 – CVE-2024-33452
OpenResty/lua-nginx-module HEAD 请求中的 HTTP 请求走私 – CVE-2024-33452 Ots安全 2025-03-29 19:42 发现与动机 我第一次遇到这个 HTTP 请求走私漏洞是在为工作中的客户进行内部渗透测试时。意识到它的潜在影响后,我决定深入挖掘其根本原因,并发现它源于 OpenResty 中的 lua-nginx-module 实
继续阅读审计技巧 | TP框架的系统如何快速高效挖掘漏洞
审计技巧 | TP框架的系统如何快速高效挖掘漏洞 WK安全 2025-03-29 10:46 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 我们系统整理了PHP的审计技巧及ThinkPHP框架的审计技巧。通过对这些文章的深入研究,结合其他权威资源,我们提取了一系列实用的代码审计方法和技巧,旨在帮助安全研究人员和开发者更有效地发现和修复PHP及ThinkPHP应用中的安全漏洞。 0x01
继续阅读海外SRC漏洞挖掘|助你快速成为百万赏金猎人
海外SRC漏洞挖掘|助你快速成为百万赏金猎人 迪哥讲事 2025-03-28 22:06 0x01 培训介绍 在SRC漏洞挖掘当中,随着攻击面的缩小,常规姿势与技巧已经无法挖掘出比较满意的漏洞。那么本课程将会给你带来国内外SRC漏洞挖掘 的骚姿势以及奇淫技巧!通过丰富的案例以及生动且简单易懂的教学带你快速上手漏洞挖掘当中的方方面面。通过本课程,了解国内外漏洞挖掘不同的思路,并且提升国内外漏洞挖掘的
继续阅读Nokia-G-120W-F-路由器存储型XSS(CVE-2021-30003)
Nokia-G-120W-F-路由器存储型XSS(CVE-2021-30003) 原创 骇客安全 骇客安全 2025-03-28 21:56 在诺基亚 G-120W-F 3FE46606AGAB91设备上发现了一个存储型XSS。 详情分析: https://research.0xdutra.com/posts/router-g120w-f/ poc: curl ‘http://192.168.23
继续阅读一个漏洞POC知识库 目前数量 1000+
一个漏洞POC知识库 目前数量 1000+ 海底天上月 海底天上月 2025-03-28 20:38 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底生残月及文章作者不为此承担任何责任。 0x01 漏洞描述 – CMS漏洞 74cms v4.2.1 v4.2.129 后台getshell漏洞
继续阅读逆变器僵尸网络?全球三大光伏逆变器产品曝出数十个严重漏洞
逆变器僵尸网络?全球三大光伏逆变器产品曝出数十个严重漏洞 网络安全与人工智能研究中心 2025-03-28 19:30 近日,网络安全公司Forescout旗下研究机构Vedere Labs发布了一份重磅报告,披露了全球三大领先太阳能逆变器制造商——尚德(Sungrow)、固德威(Growatt)和SMA的产品中存在多达46个安全漏洞。 这些漏洞可能被攻击者利用,远程控制设备或在厂商的云平台上执行
继续阅读本周最新的、复现超简单的Vite任意文件读取漏洞(CVE-2025-30208)
本周最新的、复现超简单的Vite任意文件读取漏洞(CVE-2025-30208) 原创 a1batr0ss 天翁安全 2025-03-28 18:16 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权,严
继续阅读【漏洞通告】Mozilla Firefox 沙箱逃逸漏洞(CVE-2025-2857)
【漏洞通告】Mozilla Firefox 沙箱逃逸漏洞(CVE-2025-2857) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-28 15:39 漏洞名称: Mozilla Firefox 沙箱逃逸漏洞(CVE-2025-2857) 组件名称: Mozilla Firefox 影响范围: Firefox < 136.0.4 Firefox ESR < 115.21.1
继续阅读