广联达OA系统漏洞批量检测工具 – GlodonScan
广联达OA系统漏洞批量检测工具 – GlodonScan LemonSec 2024-12-12 16:01 01 项目地址 https://github.com/OracleNep/GlodonScan 02 项目介绍 广联达OA系统漏洞批量检测工具 可检测的漏洞列表: 广联达OA EmailAccountOrgUserService SQL注入漏洞 广联达OA GetUserByE
继续阅读标签: XSS
Burp Suite for Pentester:软件漏洞扫描程序和 Retire.js
Burp Suite for Pentester:软件漏洞扫描程序和 Retire.js 三沐 三沐数安 2024-12-12 15:54 不仅我们看到的前端或看不到的后端,都会导致应用程序易受攻击。动态 Web 应用程序本身包含很多内容,无论是 JavaScript 库、第三方功能、功能插件还是其他内容。但是,如果安装的功能或插件本身易受攻击怎么办? 因此,今天在本文中我们不会关注任何特定的漏洞
继续阅读发现关键漏洞获得 $4,000 赏金奖励
发现关键漏洞获得 $4,000 赏金奖励 迪哥讲事 2024-12-12 12:30 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 文章原文:https://gugesay.com/archives/XXXX **不想错过任何消息?设置星标↓ ↓ ↓ 目录 子域枚举 发现 测试应用程序
继续阅读ZASRC漏洞接收资产范围更新
ZASRC漏洞接收资产范围更新 原创 ZASRC 众安安全应急响应中心 2024-12-12 02:00 各位白帽子: ZASRC漏洞接收公司及域名范围都更新啦!来看看吧—— (一)ZASRC漏洞接收公司最新范围如下: 众安在线财产保险股份有限公司 众安在线保险经纪有限公司 众安科技(国际)集团有限公司 上海豹云网络信息服务有限公司 众安信息技术服务有限公司 上海暖哇科技有限公司 (二)ZASRC
继续阅读银狐团伙再出新招,Web漏洞成切入点
银狐团伙再出新招,Web漏洞成切入点 安全客 2024-12-11 07:55 01 关于银狐 银狐木马是一种针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的恶意软件。该家族木马主要通过伪装成与工作相关的文件,如发票、财税文件等,诱骗用户点击下载和执行,从而实现对目标计算机的远程控制。 银狐通常利用“查_看_uninstall.exe”、“11月名单.exe”等文件名来针对性地误
继续阅读研究员在DeepSeek 和 Claude AI 中发现多个提示注入漏洞
研究员在DeepSeek 和 Claude AI 中发现多个提示注入漏洞 Ravie Lakshmanan 代码卫士 2024-12-10 10:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员 Johann Rehberger 在DeepSeek 人工智能 (AI) 聊天机器人中发现了一个缺陷(现已修复),可导致恶意人员通过提示注入攻击的方式控制受害者账户。 Rehbe
继续阅读从勒索软件到APT:揭开制造业面临的8大网络安全威胁
从勒索软件到APT:揭开制造业面临的8大网络安全威胁 软件评测中心 2024-12-10 10:00 点击蓝字,关注 “软件评测中心” 超过83%的制造企业在过去一年内遭遇勒索软件攻击,其中26%的企业被迫停产,高达68%的受害者不得不支付赎金……制造业正面临前所未有的网络安全挑战。这不仅凸显了制造业脆弱的网络安全现状,更预示着一场席卷全球制造业的网络风暴正在逼近。 为何制造业安全态势日益严峻?
继续阅读网络安全知多少【科普】5:找业务本身也可能就是漏洞,就是风险
网络安全知多少【科普】5:找业务本身也可能就是漏洞,就是风险 安小圈 2024-12-10 00:45 安小圈 第563期 网络安全 科普 “ 因此,安全是发展的前提和保障。没有网络安全,就没有国家安全,更谈不上业务安全。” 在当今数字化时代,企业业务的复杂性和多样性不断增加,业务功能的设计与实现成为企业竞争力的关键因素之一。 然而,业务本身及其功能设计往往潜藏着诸多漏洞和安全隐患,这些风险不仅可
继续阅读【安全圈】需要采取紧急行动:ABB ASPECT 漏洞使建筑物面临网络攻击
【安全圈】需要采取紧急行动:ABB ASPECT 漏洞使建筑物面临网络攻击 安全圈 2024-12-09 11:02 关键词 安全漏洞 ABB 针对其楼宇能源管理平台 ASPECT 系统发布了重要网络安全公告。该公告于2024年12月5日发布,详细描述了多个漏洞,这些漏洞可能允许攻击者远程控制该系统并执行恶意代码。 这些漏洞影响到 ASPECT 的不同版本,包括未经授权的访问和远程代码执行,以及跨
继续阅读网安牛马碰见WAF如何凑出渗透报告漏洞数量?
网安牛马碰见WAF如何凑出渗透报告漏洞数量? Jie安全 2024-12-09 03:47 前言 网安牛马数载,蓦然回首,不过是些许风霜罢了…… 遥想熊猫当年,面向WAF防护的渗透网站满眼惆怅,在当初内卷严重的牛马市场,如果你提交的渗透测试报告漏洞数量太少,再多借口也没用,只能被迫接受“菜鸡”称号,沦为测评、驻场的主要工作者,从此告别渗透、攻防……
继续阅读2024年OWASP LLM安全漏洞年度报告
2024年OWASP LLM安全漏洞年度报告 龙猫 星尘安全 2024-12-09 02:00 市场概述 在生成式AI技术迅猛发展的2024年,企业对AI技术的采用呈现爆发式增长。根据Menlo Ventures发布的最新市场数据显示,2024年AI相关投资规模已达到138亿美元的历史新高,较2023年增长达6倍。调查数据显示,72%的美国企业决策者正在扩大其生成式AI工具的应用范围,反映出市场对
继续阅读挖洞荒?工作两年半的渗透测试实习生如何挖到第一个高危sql注入漏洞?慎用!
挖洞荒?工作两年半的渗透测试实习生如何挖到第一个高危sql注入漏洞?慎用! 迪哥讲事 2024-12-08 15:28 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 今天聊点歪门邪道。跟刚入行还是实习生的小伙子交流的时候
继续阅读一文看懂安卓JSB风险漏洞挖掘
一文看懂安卓JSB风险漏洞挖掘 原创 比心皮卡丘 暴暴的皮卡丘 2024-12-08 05:16 JSB基础 JavaScript Bridge(简称 JSB)是一种在移动端开发中广泛使用的技术,用于实现 JavaScript 与本地代码(如 Java 或 Kotlin)之间的通信。虽然 JSB 为混合开发提供了强大的能力,但其不当使用可能导致严重的安全问题。 本文将围绕以下内容展开: 1. JS
继续阅读网安瞭望台第10期:开源机器学习框架存在漏洞、GammaDrop 恶意软件
网安瞭望台第10期:开源机器学习框架存在漏洞、GammaDrop 恶意软件 原创 扬名堂 东方隐侠安全团队 2024-12-07 13:35 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 研究人员发现流行开源机器学习框架存在漏洞 网络安全研究人员披露了多个影响开源机器学习(ML)工具和框架(如 MLflow、H2O、
继续阅读CVE-2024-45318|SonicWall SMA100 SSL-VPN缓冲区溢出漏洞
CVE-2024-45318|SonicWall SMA100 SSL-VPN缓冲区溢出漏洞 alicy 信安百科 2024-12-07 11:00 0x00 前言 SonicWall 是全球知名的网络安全解决方案提供商,专注于防火墙、VPN、入侵防御等领域,其客户覆盖企业、服务提供商、电子商务、政府和教育机构等。 SMA 100系列的Web应用程序防火墙(WAF)和数据泄露防护(DLP)功能(可
继续阅读Docker0day,影响近4000台主机
Docker0day,影响近4000台主机 hongzh0 Hacking Group 0434 2024-12-07 07:06 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任 系统描述 DockerUI 是一个基于 Docker API 的开源 web 应用程序,它提供了大部分等同于 Doc
继续阅读高质量企业+eduSRC漏洞挖掘实战资料分享
高质量企业+eduSRC漏洞挖掘实战资料分享 原创 Mstir 星悦安全 2024-12-07 05:54 点击上方 蓝字 关注我们 并设为 星标 part 01 一、SRC挖掘 BETTER 1.平时挖掘SRC的时候,时常感觉挖不到洞?其实应该是思路没走正,走正了思路,方能快速挖掘出多种不同类型的漏洞。其实现在SRC挖掘里,常规漏洞还是占比较大的比例,但逻辑漏洞,从几年前开始就大展拳脚了,现在也
继续阅读记一次简单的代码审计项目案例
记一次简单的代码审计项目案例 繁星01 安全君呀 2024-12-07 04:07 将 安全君呀 设为”星标 ⭐ ️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容部分选取网络,如有侵权,请告知删除。 前言 代码审计,最重要的就是
继续阅读移动安全框架 (MobSF) 存在存储型XSS漏洞 | CVE-2024-53999
移动安全框架 (MobSF) 存在存储型XSS漏洞 | CVE-2024-53999 黑白之道 2024-12-07 02:24 1► 漏洞描述 Mobsf允许用户上传带有 filename 参数的脚本文件。因此,恶意用户可以将脚本文件上传到系统。当应用程序中的用户使用“上传&分析”功能时,他们会受到存储型XSS的攻击。 2► 漏洞细节 在“上传&分析”功能中存在存储型XSS。出现
继续阅读漏洞分析 | 挖掘 .NET SqlSugar 框架SQL注入
漏洞分析 | 挖掘 .NET SqlSugar 框架SQL注入 原创 专攻.NET安全的 dotNet安全矩阵 2024-12-07 01:10 01 阅读须知 此文所节选自国内最专业的 [ .NET 代码审计 ] 体系化学习社区,主要 内容有 涉及 .NET代码审计体系化星球包括但不限于OWASP十大漏洞类型,涉及SQL注入漏洞、文件上传下载漏洞、任意文件操作漏洞、XML外部实体注入漏洞、跨站脚
继续阅读英国电信巨头BT集团遭遇勒索攻击,500GB敏感数据恐遭窃取;流行移动安全测试工具曝XSS漏洞,文件名成为攻击新途径 | 牛览
英国电信巨头BT集团遭遇勒索攻击,500GB敏感数据恐遭窃取;流行移动安全测试工具曝XSS漏洞,文件名成为攻击新途径 | 牛览 安全牛 2024-12-06 02:35 点击蓝字·关注我们 / aqniu 新闻速览 •首份欧盟网络安全状况报告发布:DoS和勒索软件成为头号安全隐患 •警惕!错误配置的WAF系统导致企业后端服务器直接暴露 •英国电信巨头BT集团遭遇勒索攻击,500GB敏感数据恐遭
继续阅读思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用
思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 汇能云安全 2024-12-06 01:30 12月6日,星期五,您好!中科汇能与您分享信息安全快讯: 01 构建 “数字监狱”?苹果公司被控非法监控员工个人设备和通讯 一名在职苹果员工于2024年12月1日在加利福尼亚州法院提起诉讼,指控苹果公司实施侵入性监控行为,过度监控员工个人生活。 自2020年起担任苹果数
继续阅读POC集合,框架nday漏洞利用
POC集合,框架nday漏洞利用 Awrrays 夜组安全 2024-12-06 00:02 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!! 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把
继续阅读单洞奖金1万刀,我挖海外漏洞的第3年
单洞奖金1万刀,我挖海外漏洞的第3年 FreeBuf知识大陆 FreeBuf知识大陆APP 2024-12-05 10:53 单洞奖金1万刀— 我挖海外漏洞的第3年 人有时候是会被身体困住的,2022年初,我每天下班后,回家就开机打游戏。这种感觉很不好,我是一个靠技术吃饭的人,还这么年轻,就这么停滞不前了吗?焦虑积攒到一定程度,我终于开始行动起来,决定回归SRC众测之路。因为对国内SRC非常熟悉了
继续阅读Zscaler CEO抨击虚假SASE方案严重误导用户;思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 | 牛览
Zscaler CEO抨击虚假SASE方案严重误导用户;思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 | 牛览 安全牛 2024-12-05 06:25 点击蓝字·关注我们 / aqniu 新闻速览 •强化关基设施防护,美国三大安全机构联合发布通信基础设施防护指南 •构建”数字监狱”?苹果公司被控非法监控员工个人设备和通讯 •Zscaler CEO抨击虚假
继续阅读通知 | 事件型漏洞收录范围调整
通知 | 事件型漏洞收录范围调整 补天平台 2024-12-05 02:41 事件型漏洞收录范围调整 为了鼓励更多的白帽子积极上发现的漏洞,帮助更多的企业维护产品安全性,补天收录范围更新, 取消权重的限制门槛,同时增加奖励形式。 01 事件型漏洞收录范围更新 补天漏洞响应平台将事件型漏洞收录范围进一步扩大,同时漏洞奖励形式增设荣誉币,旨在激励更多白帽子积极发现并上报漏洞,帮助更多的企业发现并修复漏
继续阅读思科10年老漏洞,影响ASA软件WebVPN登录页面
思科10年老漏洞,影响ASA软件WebVPN登录页面 E安全 2024-12-05 01:00 E安全消息,12月2日,思科(Cisco)发布有关CVE-2014-2120漏洞的更新安全公告,该漏洞影响思科安全设备ASA软件的WebVPN登录页面。 此漏洞最初于2014年披露,使未经身份验证的远程攻击者对WebVPN用户执行跨站点脚本 (XSS) 攻击。 Cisco 的最新公告证实了此漏洞正在被积
继续阅读微软修复 AI、云计算和 ERP 安全漏洞,其中一个已被用于攻击
微软修复 AI、云计算和 ERP 安全漏洞,其中一个已被用于攻击 原创 技术修道场 技术修道场 2024-12-05 00:04 微软近日修复了四个影响其人工智能 (AI)、云计算、企业资源规划 (ERP) 和合作伙伴中心产品的安全漏洞,其中一个漏洞已被用于实际攻击。 图片来源于网络 已被利用的漏洞 被标记为“已检测到利用”的漏洞是 CVE-2024-49035(CVSS 评分:8.7),这是一个
继续阅读大模型安全漏洞:AI时代的“隐形炸弹”(附下载)
大模型安全漏洞:AI时代的“隐形炸弹”(附下载) 原创 说安全 如何安全 说安全 如何安全 2024-12-04 23:32 在这个日新月异的AI时代,大模型作为智能技术的核心驱动力,正以前所未有的速度改变着我们的生活和工作方式。从智能客服到自动驾驶,从医疗诊断到金融风控,大模型的应用场景越来越广泛,其背后所蕴含的巨大潜力和商业价值也愈发凸显。然而,在享受AI带来的便捷与高效的同时,你是否意识到,
继续阅读