4月漏洞快报 | kkFileView任意文件上传导致远程执行漏洞、Apache Zeppelin 命令执行漏洞… 原创 梆梆安全 梆梆安全 2024-04-24 16:30 近日,梆梆安全专家整理发布安全漏洞报告,主要涉及以下产品/组件:kkFileView、Palo Alto Networks PAN-OS GlobalProtect、Apache Zeppelin 、 Node.
继续阅读某世界500强企业|存在通杀漏洞(0day) 原创 漏洞谷 漏洞谷 2024-04-24 13:51 免责声明: 1.禁止未授权的渗透测试 2.该文章仅供学习参考,切勿拿去尝试 3.此文所提供的信息而造成的任何后果及损失,均由使用者本人负责 4.一切后果与文章作者无关 5.文章所涉及的全部漏洞,均是被修复完漏洞后才公开 一.备案信息查询(因敏感问题,所以全部打码处理) 二.漏洞名称: 某某某有限公
继续阅读一个$1600的漏洞 迪哥讲事 2024-04-23 21:34 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com ****# 背景介绍 今天分享一位来自印度的独立安全研究员 Nauman Khan 的故事,他通过Auth0的错误配置,顺
继续阅读【安全圈】GPT-4 会自己发起漏洞攻击,成功率高达87% 安全圈 2024-04-22 19:01 关键词 漏洞攻击 近日,伊利诺伊大学香槟分校的研究团队揭示了一项关于人工智能模型进行黑客攻击的新研究:只需要阅读CVE漏洞描述,GPT-4就可以瞬间化身黑客,成功实施漏洞攻击,综合成功率达到了惊人的87%。 在此次研究中,该团队共对包括GPT-4、GPT-3.5在内的10个AI大模型进行实验,结果
继续阅读Oracle VirtualBox 权限提升漏洞 (CVE-2024-21111):PoC 已发布 Naor Hodorov 独眼情报 2024-04-22 18:57 安全研究员Naor Hodorov公开了一个针对Oracle VirtualBox中严重漏洞(CVE-2024-21111)的概念验证(PoC)利用。这个漏洞影响了7.0.16之前的VirtualBox版本,允许具有基本访问权限的
继续阅读GPT-4 竟然会自动实施漏洞攻击,成功率高达87% 流苏 FreeBuf 2024-04-22 18:48 左右滑动查看更多 近日,伊利诺伊大学香槟分校的研究团队揭示了一项关于人工智能模型进行黑客攻击的新研究:只需要阅读CVE漏洞描述,GPT-4就可以瞬间化身黑客,成功实施漏洞攻击,综合成功率达到了惊人的87%。 在此次研究中,该团队共对包括GPT-4、GPT-3.5在内的10个AI大模型进行实
继续阅读GPT-4化身黑客搞破坏,成功率87%!OpenAI要求保密提示词,网友复现ing 量子位 商密君 2024-04-21 22:01 91行代码、1056个token,GPT-4化身黑客搞破坏! 测试成功率达87%,单次成本仅8.8美元 (折合人民币约63元)。 这就是来自伊利诺伊大学香槟分校研究团队的最新研究。他们设计了一个黑客智能体框架,研究了包括GPT-4、GPT-3.5和众多开源模型在内
继续阅读CNNVD关于Oracle多个安全漏洞的通报 网安百色 2024-04-19 19:30 近日,Oracle官方发布了多个安全漏洞的公告,其中Oracle产品本身漏洞143个,影响到Oracle产品的其他厂商漏洞193个。包括Oracle BI Publisher 安全漏洞(CNNVD-202404-2284、CVE-2024-21082)、Oracle Food and Beverage App
继续阅读AI已经能够通过阅读安全公告利用1day漏洞,成功率达87% 看雪学苑 看雪学苑 2024-04-18 17:59 近日,美国伊利诺伊大学厄巴纳-香槟分校(UIUC)的四位计算机科学家在一篇新发布的论文中指出,只需提供描述漏洞的CVE公告,OpenAI的GPT-4大语言模型便可以成功地利用现实世界真实存在的安全漏洞。 这项新研究建立在先前发现的LLMs可以在受控环境中用于自动攻击网站的基础上,研究
继续阅读思科修复IMC 高危根提权漏洞 Sergiu Gatlan 代码卫士 2024-04-18 17:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科修复了一个位于集成管理控制器 (IMC) 中的高危漏洞,可导致本地攻击者提权至 root,其利用代码已被公开。 思科 IMC 是一款主板管理控制器,用于通过多个接口如 XML API、web (WebUI) 和命令行 (CLI) 接口等管
继续阅读Nacos 漏洞利用姿势大全-附批量工具 原创 丁永博 丁永博的成长日记 2024-04-17 23:59 Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。 指纹:app=”nac
继续阅读可绕过安全警告并自启Python脚本,电报修复其Windows桌面客户端中的零日漏洞 看雪学苑 看雪学苑 2024-04-16 18:02 过去几天,X和一些黑客论坛上关于Telegram for Windows中的远程代码执行漏洞的传言不绝于耳。一些帖子声称这是一个零点击漏洞,Telegram否认了这些说法,并表示演示视频很可能是一个恶作剧。 第二天,XSS黑客论坛上有人又分享了一个漏洞利用PO
继续阅读赏金猎人|SRC拿下某后台系统多个高危漏洞思路及试探通用型漏洞 迪哥讲事 2024-04-15 20:31 0x01 前言 本次漏洞挖掘对象为某公交后台管理系统,经过前期信息打点,成功从js中拿到多个接口,通过接口获取到未授权信息泄露以及SQL注入,包括前端登录页面SQL语句不严谨导致的万能密码登录,某理论来说,应该算SQL注入 实缴只有2000个,本想上交到补天通用,奈何系统太冷门,独立IP小于
继续阅读漏洞挖掘|记一次对某杀猪盘的漏洞挖掘(反诈) 原创 爱州 州弟学安全 2024-04-15 19:00 0x01 前言 这天无聊闲逛,学习技术,无意间在某公众号下看到有赚钱的信息 但是,当我打开后,文章被作者删了,好巧不巧的是,有位师傅保存下来了广告图,图就不发了,别再因为这个文章被和谐 什么是杀猪盘: 我们近几年经常听到的反诈,骗子无时无刻不在 骗子首先会开发虚假的"投zi&q
继续阅读Telegram 修复Windows 版中的0day漏洞 Lawrence Abrams 代码卫士 2024-04-15 17:47 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Telegram 修复了位于 Windows 桌面应用中的一个 0day 漏洞,它可 被用于绕过安全提醒并自动启动 Python 脚本。 几天前,就曾有人在X和黑客论坛上提到 Windows 版本的 Telegr
继续阅读如何在一个目标中获取两个RCE 0xBartita 迪哥讲事 2024-04-14 21:30 如何在一个目标中获取两个RC 整个攻击流程 环节 1: 目标识别和信息收集 1.使用Shodan搜索引擎搜索包含特定SSL证书信息(”ssl:target.com”)的服务器,旨在找到使用这一证书的服务器IP地址。 2.目录和路径探索:通过使用dirsearch工具对找到的IP地
继续阅读浅谈JSONP劫持漏洞 Ots安全 2024-04-14 15:07 JSONP JSONP的全称是JSON with Padding,是一种基于JSON格式来解决跨域请求资源的方案。 由于浏览器同源策略的限制,浏览器只允许XmlHttpRequest请求当前相同(域名、协议、端口)的资源,对请求脚本资源没有限制。 原理:客户端通过请求脚本标签发送跨域请求,然后服务器输出JSON数据并执行回调函
继续阅读实战纪实 | 几个有趣的漏洞导致的连锁危害 原创 zbs 掌控安全EDU 2024-04-13 12:00 扫码领资料 获网安教程 本文由掌控安全学院 -zbs投稿 前引:总的来说就是信息泄露+越权+爆破登录+xss这四个漏洞导致的连锁反应,因为他有默认密码123456,所以最终可以重置全校学生的密码,并都植入xss,危害十足。 信息收集:和嘉名童鞋一起测试的,都是他收集的QAQ 主要通过百度贴吧
继续阅读一次从子域名接管到RCE的经历 考不过刘乐琪不改 迪哥讲事 2024-04-10 21:00 一次从子域名接管到RCE的渗透经历 前言 本文接触过作者的一次奇妙的实战经历,从子域名接管到上传Shell提权,将信息泄露漏洞和xss漏洞最终发展成rce。本文由当时存在语雀中的零散的渗透记录整理,由于该次渗透距今已经有一段时间,而且厂商要求保密,所以本文属于思路复现。下文中的域名、DNS解析记录、IP等
继续阅读信息安全漏洞周报(2024年第15期) CNNVD CNNVD安全动态 2024-04-10 17:27 点击蓝字 关注我们 根据国家信息安全漏 洞库(CNNVD)统计,本周(2024年4月1日至2024年4月7日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞763个。 接报漏洞情况 本周CNNVD接报漏洞5417个,其中信息技术产品漏洞(通用型漏洞)203个,网络信息系统漏洞(事
继续阅读6款较流行的开源漏洞扫描工具推荐及特点分析 安全牛 2024-04-09 12:40 未修补的漏洞是网络犯罪分子最容易攻击的目标之一。 企业中很多的数据安全事件往往由于已知的漏洞造成的,尽管相关的安全补丁已经发布,但许多企业由于种种原因并不能及时发现并修补这些漏洞。 当组织想要开展全面且持续的漏洞扫描工作时,通常需要得到广泛的安全社区支持。在此过程中,安全人员可以借助一些的流行开源漏洞扫描工具。由
继续阅读思科提醒注意Small Business路由器中的XSS漏洞 代码卫士 2024-04-07 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科提醒注意 Small Business RV016、RV042、RV042G、RV082和RV325路由器中的一个XSS漏洞。 该中危漏洞编号是CVE-2024-20362,位于思科 Small Business RV016、RV042
继续阅读【安全圈】WP-Members 插件中的安全漏洞导致脚本注入 安全圈 2024-04-04 10:07 关键词 漏洞 根据安全公司 Defiant 的建议,攻击者可以利用 WP-Members Membership WordPress 插件中的高严重性跨站脚本 (XSS) 漏洞将任意脚本注入网页。 该漏洞编号为 CVE-2024-1852,是输入清理和输出转义不充分造成的结果,允许攻击者创建将恶意
继续阅读【漏洞预警】WordPress LayerSlider插件SQL注入漏洞(CVE-2024-2879) cexlife 飓风网络安全 2024-04-03 23:05 漏洞描述: WordPress插件LayerSlider是一款可视化网页内容编辑器、图形设计软件和数字视觉效果应用程序,全球活跃安装量超过 1,000,000 次,近日监测到LayerSlider插件中存在一个SQL注入漏洞(CVE
继续阅读热门Wordpress 插件 LayerSlider 中存在严重漏洞 THN 代码卫士 2024-04-03 16:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 插件 LayerSlider 中存在一个严重漏洞,可被滥用于提取数据库中的敏感信息如密码哈希。 该漏洞的编号是CVE-2024-2879,CVSS评分为9.8,为SQL注入漏洞,影响7.9.11至7.10
继续阅读上周关注度较高的产品安全漏洞(20240325-20240331) 原创 CNVD CNVD漏洞平台 2024-04-01 17:02 一、境外厂商产品漏洞 1、 Apache Superset资源管理错误漏洞(CNVD-2024-14775) Apache Superset 是美国阿帕奇( Apache )基金会的一个数据可视化和数据探索平台。 Apache Superset 2.1.2 及之前
继续阅读SRC漏洞挖掘–并发 迪哥讲事 2024-03-28 20:30 简介 并发漏洞是一类涉及多线程、多用户或多进程环境下的安全漏洞,其独特性质在于攻击者能够利用系统同时处理多个请求的特点,以获取未授权访问、篡改数据或实施拒绝服务攻击。相较于传统漏洞,它们的复杂性在于在同一时间内处理多个请求可能导致数据不一致性和竞争条件。 危害 数据不一致性 并发漏洞可能导致系统中的数据不一致性。当多个请
继续阅读