01 漏洞从哪里来?——综述
01 漏洞从哪里来?——综述 原创 Richard 方桥安全漏洞防治中心 2025-02-07 00:00 漏洞从哪里来? 漏洞从每一个你想得到和想不到的地方来。 本系列文章拟从 “设计缺陷、编程习惯、认知局限、体系痼疾(制度化)、视而不见(风险偏好)、引狼入室(供应链)、乌合之众(你没错,我没错,咱俩在一起就是错)、技术进步”等8个方面浅析各种导致安全漏洞的直接原因。姑且称为“八方来洞”。 咱们
继续阅读标签: XSS
xss漏洞挖掘插件 — Jssx(2月6日更新)
xss漏洞挖掘插件 — Jssx(2月6日更新) Yn8rt 网络安全者 2025-02-06 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。个人
继续阅读HVV实战课程与超值福利
HVV实战课程与超值福利 原创 ZPZ安全团队 ZeroPointZero安全团队 2025-02-06 10:23 P ART.01/ 课程简介 欢迎加入HVV行动实战课程,这是一门为网络安全爱好者和安全从业者量身打造的高端课程,专注于红蓝对抗技能的深入学习和实践应用。无论你是刚刚踏入网络安全领域的初学者,还是经验丰富的专业人士,这门课程都将带你深入探索网络攻防的精髓,为你提供从基础知识到高级技
继续阅读紧急提醒!Netgear 路由器高危漏洞来袭,速更新固件!
紧急提醒!Netgear 路由器高危漏洞来袭,速更新固件! 看雪学苑 看雪学苑 2025-02-05 09:59 美国知名网络设备制造商 Netgear 近日发布安全公告,警告用户尽快更新其部分WiFi路由器的固件,以修复两个严重的安全漏洞。这些漏洞影响了多款WiFi 6接入点和Nighthawk Pro Gaming路由器,攻击者可利用这些漏洞远程执行代码或绕过身份验证,且攻击过程无需用户交互。
继续阅读记一次网上阅卷系统漏洞挖掘
记一次网上阅卷系统漏洞挖掘 原创 zkaq-小渣渣 掌控安全EDU 2025-02-04 04:35 扫码领资料 获网安教程 本文由掌控安全学院 – 小渣渣 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn 提取指纹后,鹰图搜索:web.body=”img/XXXXXX.gif” img 漏洞一 首先,我先测试账号密码问题,填写账号
继续阅读【焕新领先】捷普漏洞扫描系统
【焕新领先】捷普漏洞扫描系统 交大捷普 2025-02-04 01:00 捷普漏洞扫描系统 产品特点 01 丰富的漏洞库资源 NVAS的漏洞知识库量级为300000条,涵盖了各种主流操作系统、应用服务、数据库、网络设备、虚拟化平台、大数据、视频监控系统等。漏洞知识库数量国内领先,每两周至少升级一次。漏洞相关信息支持全中文,兼容CVE,CNNVD等标准,漏洞修复建议清晰、详细,可操作性强。 02 结
继续阅读深入浅出API测试|搜集分析与漏洞挖掘实战
深入浅出API测试|搜集分析与漏洞挖掘实战 迪哥讲事 2025-01-30 12:35 深入浅出API测试 标题展示 所有动态网站都由 API 组成,因此 SQL 注入等经典 Web 漏洞可以归类为 API 测试。因此测试之前要尽可能的去测试功能点,观察代理流量,发现API目录收集信息,拓展攻击面。 例如,某个功能的请求的 API 端点是 /api/books 这会 API 进行交互,从图书馆中检
继续阅读跨平台漏洞扫描器 — EZ(V1.9.2)
跨平台漏洞扫描器 — EZ(V1.9.2) m-sec-org 网络安全者 2025-01-29 16:10 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
继续阅读记一次SRC利用github搜索拿下中危漏洞
记一次SRC利用github搜索拿下中危漏洞 原创 zkaq-asdad 掌控安全EDU 2025-01-29 04:01 扫码领资料 获网安教程 本文由掌控安全学院 – asdad 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 由于是某项目所以厚码,打开官网基本都是静态页面,没有什么交互功能,找了半天只有一个投诉功能,在投诉功
继续阅读【burpsuite靶场-服务端2】身份认证漏洞-15个实验(全)
【burpsuite靶场-服务端2】身份认证漏洞-15个实验(全) 原创 underatted 泷羽Sec-underatted安全 2025-01-28 07:08 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢! 1. 概念 至少在概念上,
继续阅读通过js进行模糊测试所拿到的一次五千漏洞赏金记录
通过js进行模糊测试所拿到的一次五千漏洞赏金记录 迪哥讲事 2025-01-27 12:42 0x01 前言 Missing parameter?Parameter is null?一次众测实战教你如何高效的找出缺少的参数。 0x02 漏洞背景 一次众测项目,称其为https://uctenter.target.com。 0x03 漏洞挖掘过程 前期通过信息收集,找到一处目录organizatio
继续阅读一次混合双打出来的漏洞
一次混合双打出来的漏洞 原创 X1ly?S 富贵安全 2025-01-27 01:27 先是在某SRC官网FUZZ出一处图片显示接口,发现image__name参数是图片路径,那么有几个可尝试的点:文件包含getshell;目录穿越;ssrf…… https://xxx.cn/xxxx/ueditor?image_name=/xxx.png 经过尝试,文件包含、ssrf都不行,只是拼接读取了远程资
继续阅读5th域安全微讯早报【20250125】022期
5th域安全微讯早报【20250125】022期 网空闲话 网空闲话plus 2025-01-25 01:02 2025-01-25 星期六Vol-2025-022 今日热点导读 1. 巴基斯坦加强社交媒体监管, VPN 与审查制度成焦点 PCLOB 政治化或威胁美欧关键数据隐私协议 Pwn2Own Automotive 2025 黑客大赛落幕: 49 个零日漏洞获 88.6 万美元奖金 4.
继续阅读黑客攻防演练!!揭秘Sync Breeze缓冲溢出漏洞利用全过程!?
黑客攻防演练!!揭秘Sync Breeze缓冲溢出漏洞利用全过程!? 原创 泷羽Sec—边酱 泷羽Sec-边酱 2025-01-24 14:23 黑客攻防演练:揭秘Sync Breeze缓冲溢出漏洞利用全过程 在网络安全的世界里,攻防对抗时刻都在上演 今天 咱们就来揭开一个神秘的“黑客操作”——Sync Breeze缓冲溢出漏洞利用过程 的面纱。 一、发现前端限制漏洞 当我们打开Sync Bree
继续阅读phpMyAdmin 触发 XSS 攻击的安全漏洞
phpMyAdmin 触发 XSS 攻击的安全漏洞 网安百色 2025-01-24 11:30 点击上方 蓝字 关注我们吧~ 漏洞详情 phpMyAdmin 作为一个开源的数据库管理工具,允许用户通过web界面进行数据库的管理操作。安全研究人员发现,在该工具的一些功能中,输入参数未经过充分验证,从而为潜在的攻击者提供了通过网页注入恶意JavaScript代码的机会。 恶意代码可以在目标用户的浏览器
继续阅读【神兵利器】JAVA JMX漏洞综合利用工具
【神兵利器】JAVA JMX漏洞综合利用工具 原创 Heptagram 七芒星实验室 2025-01-21 23:00 基本介绍 beanshooter是一个JMX枚举和攻击工具,有助于识别JMX端点上的常见漏洞并提供了丰富的漏洞利用载荷和利用方式 工具编译 我们也可以通过beanshooter来枚举并注册EvilBean到JMXServer端,首先我们需要去下载beanshooter工具到本地,
继续阅读SRC技巧分享:某高校未授权访问+XML文件上传引发的XSS
SRC技巧分享:某高校未授权访问+XML文件上传引发的XSS 原创 zangcc Eureka安全 2025-01-21 09:29 点击上方 蓝字 关注我们 0x01 前言 这是之前我在edusrc挖的一个小漏洞。如果是单纯的反射型xss,平台是不收录的,但是我这个xss属于是多个漏洞在一起的组合。当时本来是想打一个有证书的高校,但是最后才发现不对劲,这个名字跟我挖的这个实在是太像了,打歪了。。
继续阅读盘点 2024 年备受关注的那些高风险漏洞
盘点 2024 年备受关注的那些高风险漏洞 原创 404实验室 知道创宇404实验室 2025-01-21 07:20 2024年,网络安全领域接连曝出了一系列高危漏洞,这些漏洞不仅影响范围广泛,而且破坏力极大,对全球的网络安全构成了严峻挑战。以下是我们从今年的安全漏洞应急中总结出的一些颇具危害性和影响力的网络安全漏洞,排名不分先后,当然,我们也从Seebug漏洞平台访问数据和ZoomEye网络空
继续阅读2025年十大最佳漏洞管理工具
2025年十大最佳漏洞管理工具 e安在线 e安在线 2025-01-21 05:01 在检测、分析,和修补Web以及网络应用程序中的漏洞方面,漏洞管理工具都发挥着重要的作用。 安全领域常用的术语包括漏洞、风险和威胁。漏洞是指系统中可能造成威胁的弱点,风险是指潜在的损害或损失,威胁是指利用漏洞造成的不利事件。发现这些弱点是保护公司资产和数据的关键。 漏洞管理工具的目标是识别问题。许多公司和安全研究人
继续阅读上周关注度较高的产品安全漏洞(20250113-20250119)
上周关注度较高的产品安全漏洞(20250113-20250119) 国家互联网应急中心CNCERT 2025-01-21 03:13 一、境外厂商产品漏洞 1、IBM Security Directory Integrator操作系统命令注入漏洞 IBM Security Directory Integrator是美国国际商业机器(IBM)公司的一个集成开发环境和运行时服务。IBM Securit
继续阅读上周关注度较高的产品安全漏洞(20241230-20250105)
上周关注度较高的产品安全漏洞(20241230-20250105) 金瀚信安 2025-01-20 09:08 一、境外厂商产品漏洞 1、SAP NetWeaver Enterprise Portal跨站脚本漏洞(CNVD-2024-49627)**** SAP Commerce Cloud的Backoffice是一个用户中心的、可扩展的后端界面,它允许业务用户轻松管理SAP Commerce C
继续阅读$40,000的RCE!
$40,000的RCE! 迪哥讲事 2025-01-19 20:35 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 前言 本文将向各位讲一讲国外白帽 I& Orwa Atyat 如何成功将有限的路径遍历升级为 RCE 漏洞 ,从而赢得40,000 美刀赏金的故事。
继续阅读2025年值得关注的十大漏洞管理工具
2025年值得关注的十大漏洞管理工具 苏说安全 2025-01-18 23:01 漏洞扫描工具在现代网络安全框架中必不可少。它们不仅可以帮助组织在漏洞被利用之前识别和修复漏洞,还可以支持合规性工作,加强风险管理实践,并最终有助于建立更强大的整体安全态势。 漏洞管理过程的四个基本步骤 识别漏洞:使用各种漏洞扫描器扫描系统、网络中的设备、数据库、虚拟机、服务器的开放端口和服务,以识别潜在的安全缺陷。
继续阅读DVWA漏洞靶场通关手册(万字图文解析)
DVWA漏洞靶场通关手册(万字图文解析) 原创 BlankSec 泷羽Sec-Blanks 2025-01-18 10:57 DVWA靶场通关 一、安全等级:Low (一)Brute Force 密码爆破 (二)Command Injection 命令注入 (三)CSRF 跨站脚本伪造 (四)File Inclusion 文件包含 (五)File Upload 文件上传 (六)SQL Inje
继续阅读pikachu漏洞靶场通关手册(万字图文解析)
pikachu漏洞靶场通关手册(万字图文解析) 原创 BlankSec 泷羽Sec-Blanks 2025-01-17 15:25 pikachu漏洞靶场通关 靶场链接文末获取 – 一、密码爆破 – 1.1 基于表单的暴力破解 – 1.2 验证码绕过(on server) – 1.3 验证码绕过(on client) – 1.4 toke
继续阅读初级漏洞猎手十大必备网站
初级漏洞猎手十大必备网站 原创 再说安全 再说安全 2025-01-17 15:02 网络安全领域的魅力不仅在于攻防对抗的精彩,更在于对未知领域的探索与挑战。作为初入安全行业的漏洞猎手,掌握必要的工具和资源至关重要。这份清单并非速成指南,而是基于实战经验和技术沉淀,客观真实地列出了十个对于入门者至关重要的网站。它们涵盖信息收集、漏洞情报、安全报告等多个维度,是开启技术进阶之旅的钥匙。这里没有“一键
继续阅读漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感
漏洞挖掘|还没开始就结束了?行不行啊!毫无体验感 迪哥讲事 2025-01-17 12:39 本篇文章共 2000字,完全阅读全篇约 3 分钟 州弟学安全,只学有用的知识 前言 好久没有写渗透测试的文章了,因为这段时间工作和其它原因一直没时间,今天就简单水一下某次SRC的思路吧,从信息收集到接管oss半小时时间,国内某制造商,资产不多 本次信息收集采用互联网信息收集(包括不限于:shodan、fo
继续阅读SimpleIAST- 基于污点追踪的灰盒漏洞扫描工具。
SimpleIAST- 基于污点追踪的灰盒漏洞扫描工具。 keven1z 夜组安全 2025-01-17 00:01 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya
继续阅读2025最新Invicti-Professional-V25.1 WEB漏洞扫描器更新|近期漏洞合集更新
2025最新Invicti-Professional-V25.1 WEB漏洞扫描器更新|近期漏洞合集更新 原创 城北 渗透安全HackTwo 2025-01-16 16:00 前言 内部星球近期漏洞验真合集更新|漏洞威胁情报更新 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。
继续阅读