MLOps 平台存在20多个供应链漏洞
MLOps 平台存在20多个供应链漏洞 THN 代码卫士 2024-08-27 18:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究人员提醒称,MLOps 的多个平台中存在20多个漏洞,机器学习软件供应链中存在安全风险。 这些漏洞是内在的实现漏洞,可造成严重后果如任意代码执行、恶意数据集加载等。MLOps 平台提供设计和执行ML模型管道的能力,其中模型注册表当作存储和版本
继续阅读标签: XSS
Operation DevilTiger:APT-Q-12 使用 0day 漏洞技战术披露
Operation DevilTiger:APT-Q-12 使用 0day 漏洞技战术披露 红雨滴团队 奇安信威胁情报中心 2024-08-26 09:15 概述 APT-Q-12,中文名伪猎者,具有东北亚背景,奇安信威胁情报中心最早于 2021 年发布相关技术报告[1],主要目标包含中国、朝鲜、日本、韩国等东亚地区的国家和实体。实际上该攻击集合最早由境外友商 blackberry 于 2017
继续阅读CTF分享 | 命令执行-1
CTF分享 | 命令执行-1 繁星01 安全君呀 2024-08-25 21:37 将 安全君呀 设为”星标 ⭐ ️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容部分选取网络,如有侵权,请告知删除。 1 命令执行 题目源码: 代
继续阅读CVE-2024-39397|Magento Open Source文件上传远程代码执行漏洞
CVE-2024-39397|Magento Open Source文件上传远程代码执行漏洞 alicy 信安百科 2024-08-25 18:00 0x00 前言 Magento Open Source 是一款由 Adobe 支持的强大的开源电子商务平台,它为开发者和商家提供了一个构建独特在线商店的基础框架。虽然对于寻求全方位电商解决方案的用户,Adobe Commerce是更全面的选择,但Ma
继续阅读dedecms 两个常见漏洞的复现
dedecms 两个常见漏洞的复现 菜鸟小新 2024-08-25 17:48 侵权声明 本文章中的所有内容(包括但不限于文字、图像和其他媒体)仅供教育和参考目的。如果在本文章中使用了任何受版权保护的材料,我们满怀敬意地承认该内容的版权归原作者所有。 简介 版本 5.7 漏洞位置 文件上传 file_manage_control.php xss article_add.php 分析 文件上传 找到
继续阅读价值 3500 美元的漏洞
价值 3500 美元的漏洞 迪哥讲事 2024-08-24 22:27 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ ****# 管理面板绕过 一句话概括:管理面板绕过是指攻击者用来获得对网站
继续阅读2024最常被利用的十大漏洞
2024最常被利用的十大漏洞 橘猫学安全 2024-08-24 16:03 作者:布加迪,转载自嘶吼专业版 黑客攻击变得一年比一年高级和复杂,因此现在追踪了解安全漏洞比以往任何时候都来得重要。本文着重介绍了2022年恶意威胁分子利用的一些最危险的漏洞。 1. Follina(CVE- 2022 – 30190) CVE-2022-30190(非正式名称为“Follina”)在2022年5月被披露,
继续阅读小米在 Pwn2Own Toronto 2023 大赛前修补了 RCE 漏洞,并在大赛结束后删除了补丁
小米在 Pwn2Own Toronto 2023 大赛前修补了 RCE 漏洞,并在大赛结束后删除了补丁 原创 Pwn2Own 安全之眼SecEye 2024-08-23 21:37 在 Pwn2Own Toronto 2023 竞赛期间,列出了几个类别和设备供研究人员瞄准。至于移动设备,有 Apple iPhone 14、Google Pixel 7、三星 Galaxy S23 和小米 13 Pr
继续阅读DouPHP(CVE-2024-7917、代码分析xss)漏洞复现
DouPHP(CVE-2024-7917、代码分析xss)漏洞复现 原创 LULU 红队蓝军 2024-08-23 18:01 漏洞介绍 漏洞:CVE-2024-7917 介绍:DouPHP 1.7_Release_20220822版本中存在一个远程代码执行(RCE)漏洞。拥有管理员权限的攻击者可以通过该漏洞在服务器上执行任意命令。漏洞通过上传恶意ico文件、修改文件扩展名来执行PHP代码 该漏洞
继续阅读Litespeed曝高速缓存漏洞,威胁数百万WordPress网站
Litespeed曝高速缓存漏洞,威胁数百万WordPress网站 小薯条 FreeBuf 2024-08-22 19:02 近日,有研究人员在插件的用户模拟功能中发现了未经身份验证的权限升级漏洞 (CVE-2024-28000),该漏洞是由 LiteSpeed Cache 6.3.0.1 及以下版本中的弱散列检查引起的。这个漏洞可能会让攻击者在创建恶意管理员账户后接管数百万个网站。 LiteSp
继续阅读GitHub Enterprise Server 中存在严重的认证漏洞
GitHub Enterprise Server 中存在严重的认证漏洞 Ryan Naraine 代码卫士 2024-08-22 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitHub 紧急修复了位于 GitHub Enterprise Server 产品中的三个安全缺陷,并提醒称黑客可利用其中一个漏洞获得站点管理员权限。 其中最严重的是CVE-2024-6800,可导致攻
继续阅读漏洞扫描工具 — SBScan
漏洞扫描工具 — SBScan 橘猫学安全 2024-08-22 13:14 0x01 工具介绍 甜心宝贝是一款支持弱口令爆破的内网资产探测漏洞扫描工具,集成了Xray与Nuclei的Poc。主要功能:内网资产探测、通用漏洞扫描、弱口令爆破。 0x02 安装与使用 1、调高探测与扫描并发 ./SbScan -h 192.168.0.0/16 -wsh 500 –wsp 500 2、
继续阅读「 典型安全漏洞系列 」08.文件上传漏洞详解
「 典型安全漏洞系列 」08.文件上传漏洞详解 原创 筑梦网安 全栈安全 2024-08-21 21:16 往期回顾 「 典型安全漏洞系列 」07.OS命令注入详解 「 典型安全漏洞系列 」06.路径遍历(Path Traversal)详解 「 典型安全漏洞系列 」05.XML外部实体注入XXE详解 「 典型安全漏洞系列 」04.服务器端请求伪造SSRF详解 「 典型安全漏洞系列 」03.跨站请求
继续阅读让XSS漏洞无处遁形!0x1
让XSS漏洞无处遁形!0x1 迪哥讲事 2024-08-21 20:53 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 背景 安全小白团 今天我将讨论使用不同技术的多种跨站脚本(XSS) 攻击,这是我在参与各种漏洞赏金计划时发现的。 XSS:(跨站脚本)是一种安全漏洞,当攻击者向其他用户查看的网页中注入恶意脚本时,这种漏
继续阅读CISA:严重的 Jenkins 漏洞已被用于勒索攻击
CISA:严重的 Jenkins 漏洞已被用于勒索攻击 THN 代码卫士 2024-08-21 18:08 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 将影响Jenkins的一个严重漏洞 (CVE-2024-23897) 纳入其“已知已遭利用漏洞 (KEV)”分类表中,原因是该漏洞已被用于勒索攻击中。 该漏洞的CVSS评分为9.8,是一个路径遍
继续阅读「推安早报」0819 | Chrome、Zabbix等漏洞、红队工具更新
「推安早报」0819 | Chrome、Zabbix等漏洞、红队工具更新 bggsec 甲方安全建设 2024-08-19 17:32 # 2024-08-19 「红蓝热点」每天快人一步 > 1. 推送「新、热、赞」,帮部分人阅读提效 2. 学有精读浅读深读,艺有会熟精绝化,觉知此事重躬行。推送只在浅读预览 3. 机读为主,人工辅助,每日数万网站,10w推特速读 4. 推送可能大众或小众,不
继续阅读上周关注度较高的产品安全漏洞(20240812-20240818)
上周关注度较高的产品安全漏洞(20240812-20240818) 原创 CNVD CNVD漏洞平台 2024-08-19 17:17 一、境外厂商产品漏洞 1、DerbyNet racerid参数跨站脚本漏洞 DerbyNet是一个简易的比赛转播项目代码。DerbyNet racerid参数存在跨站脚本漏洞,该漏洞是由于photo-thumbs.php脚本对用户提供的输入验证不当造成的。攻击者可
继续阅读挖漏洞经验分享,挖漏洞赚取生活费,7天收益近2200,教你从零基础挖漏洞的正确姿势!
挖漏洞经验分享,挖漏洞赚取生活费,7天收益近2200,教你从零基础挖漏洞的正确姿势! 编程技术栈 2024-08-17 15:35 经常有小伙伴问我。 为什么自己总是挖不到漏洞呢? 渗透到底是什么样的流程呢? 所以全网最详细的渗透测试流程来了!!! 全篇文章内容较长,请耐心观看! 渗透测试 渗透测试其实就是通过一些手段来找到网站,APP,网络服务,软件,服务器等网络设备和应用的漏洞,告诉管理员有哪
继续阅读微软警告六个Windows零日漏洞正在被积极利用
微软警告六个Windows零日漏洞正在被积极利用 原创 hackerson 黑客联盟l 2024-08-17 15:32 微软的安全响应团队发布了有关Windows及其操作系统组件的近90个漏洞的文档,并标记了几个被积极利用的缺陷类别。 微软周二警告称,六个Windows安全缺陷正在被积极利用,突显出其旗舰操作系统在零日攻击方面的持续挑战。 Redmond的安全响应团队发布了有关Windows及操
继续阅读通过浏览器扩展中的链接消息实现通用代码执行
通过浏览器扩展中的链接消息实现通用代码执行 Ots安全 2024-08-17 11:33 通过在浏览器和浏览器扩展中链接各种消息传递 API,我演示了如何从网页跳转到“通用代码执行”,从而破坏同源策略和浏览器沙盒。我提供了两个影响数百万用户的新漏洞披露作为示例。此外,我还演示了如何结合使用大型数据集查询和静态代码分析来大规模发现此类漏洞。 注意:扩展案例研究已于 4 月向其所有者披露,但尚未修补,
继续阅读hackerone上TOP5的开放重定向漏洞
hackerone上TOP5的开放重定向漏洞 原创 骨哥说事 骨哥说事 2024-08-17 00:00 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ ****# 1.central.uber
继续阅读Hvv 日记 威胁情报 8.15 Windows TCPIP 远程执行代码漏洞(CVE-2024-38063)
Hvv 日记 威胁情报 8.15 Windows TCPIP 远程执行代码漏洞(CVE-2024-38063) Khan安全团队 2024-08-16 08:24 Windows TCPIP 远程执行代码漏洞(CVE-2024-38063) 漏洞描述 WindowsTCP/P 远程代码执行漏洞,攻击者能够通过向目标主机发送特制的IP6 数据包来远程执行任意代码。由于该漏洞不需要用户交互,并且可以
继续阅读SonicWallSMA100将XSS存储到RCE
SonicWallSMA100将XSS存储到RCE 船山信安 2024-08-16 05:00 概要 SonicWall SMA100 中存在身份验证前存储的 XSS 和身份验证后的远程命令注入漏洞。这些漏洞允许未经身份验证的攻击者在经过身份验证的用户暴露于存储的 XSS 时执行任意命令。这些漏洞是在没有任何CVE分配的情况下悄无声息地修补的。删除了存在存储 XSS 漏洞的名为经典模式的整个功能,
继续阅读荷兰黑客挖出了太阳能系统中的关键漏洞,成功利用可危及欧洲电网
荷兰黑客挖出了太阳能系统中的关键漏洞,成功利用可危及欧洲电网 网络安全应急技术国家工程中心 2024-08-15 16:13 SecurityLabs8月14日援引荷兰媒体报道,随着“智能”技术的脆弱性日益严重,荷兰黑客维特斯·布恩斯特拉(Willem Westerhof)最近发现,单击一个按钮就能让150个国家的400万太阳能系统停机。这一发现证实了赫普波宁定律:“如果某物是智能的,它就存在漏洞
继续阅读奇安信《软件供应链安全报告》:七成国产软件有超危漏洞
奇安信《软件供应链安全报告》:七成国产软件有超危漏洞 代码卫士 2024-08-12 18:59 2024年8月12日,奇安信集团对外发布《2024中国软件供应链安全分析报告》(以下简称《报告》)。《报告》显示,国内企业软件项目,开源软件使用率达100%。目前,开源软件漏洞指标仍处于高位,软件供应链的安全问题并没有得到根本性的改善,20多年前的开源软件漏洞仍然存在于多个软件项目中。《报告》建议,软
继续阅读安全热点周报:本周新增两个在野利用漏洞,系统安全不容小觑
安全热点周报:本周新增两个在野利用漏洞,系统安全不容小觑 奇安信 CERT 2024-08-12 17:30 安全资讯导视 • 《联合国打击网络犯罪公约》顺利通过 • 巴黎奥运会比赛场馆遭勒索软件攻击 • 近30亿人个人数据遭暗网售卖,美国一背调公司被起诉 PART01 漏洞情报 1.微软RDL服务远程代码执行漏洞安全风险通告 8月9日,奇安信CERT监测到官方修复Windows远程桌面授权服务
继续阅读《联合国打击网络犯罪公约》将提交联大表决,我国发挥关键作用;韩国“伪猎者”APT组织利用国产化软件漏洞对我国进行网络攻击 |牛览
《联合国打击网络犯罪公约》将提交联大表决,我国发挥关键作用;韩国“伪猎者”APT组织利用国产化软件漏洞对我国进行网络攻击 |牛览 安全牛 2024-08-12 13:02 点击蓝字·关注我们 / aqniu 新闻速览 •《联合国打击网络犯罪公约》将提交联大表决,我国发挥关键作用 •大语言模型精准提取网络威胁情报的准确率高达98% • 韩国“伪猎者”APT组织利用国产化软件漏洞对我国进行网络攻击
继续阅读韩国“伪猎者”APT组织利用多款国产化软件漏洞对中国的攻击活动
韩国“伪猎者”APT组织利用多款国产化软件漏洞对中国的攻击活动 原创 猎影实验室 网络安全研究宅基地 2024-08-12 10:48 1 事件背景 随着信息技术的不断发展和普及,国产化软件已经成为我国信息化建设的重要组成部分。然而,在享受国产化软件带来的便利的同时,我们也面临着来自各种攻击威胁的挑战。 尤其是国产化的办公应用、知名软件,已广泛覆盖各个企业单位,境外攻击者早已盯牢这些阵地,想以此为
继续阅读如何为漏洞赏金猎人找到您的第一个漏洞(分步指南)
如何为漏洞赏金猎人找到您的第一个漏洞(分步指南) haidragon 安全狗的自我修养 2024-08-11 16:48 漏洞赏金狩猎看起来真的很令人兴奋,尤其是当您看到其他人在 LinkedIn 上分享他们的漏洞发现时。我知道当你没有找到任何错误而其他人发现任何错误时,这可能会令人沮丧。但别担心,每个人在开始时都会面临挑战。一旦你开始,它就会变得更容易。在本文结束时,我保证你会知道如何找到你的第
继续阅读