APT组织利用 Ivanti 漏洞攻击关键部门
APT组织利用 Ivanti 漏洞攻击关键部门 会杀毒的单反狗 军哥网络安全读报 2025-05-26 01:01 导读 据 EclecticIQ 报道,一个网络黑客组织利用最近的两个 Ivanti Endpoint Manager Mobile (EPMM) 漏洞,针对欧洲、北美和亚太地区的关键部门发动攻击。 这两个漏洞的严重程度为中等,分别为 CVE-2025-4427 和 CVE-2025-
继续阅读标签: XSS
APT利用SaaS零日漏洞(CVE-2025-3928)攻陷Azure云!Commvault事件剖析M365数据安全与防御体系
APT利用SaaS零日漏洞(CVE-2025-3928)攻陷Azure云!Commvault事件剖析M365数据安全与防御体系 原创 Hankzheng 技术修道场 2025-05-26 00:03 安全警报再次升级至高危等级!美国网络安全和基础设施安全局 (CISA) 近日拉响警报,直指潜伏在微软 Azure 云环境中的软件即服务 (SaaS) 应用正面临高级持续性威胁 (APT) 的精准打击。
继续阅读Ai + burpsuite@漏洞自动化检测搭建
Ai + burpsuite@漏洞自动化检测搭建 红队传奇林先生 月落安全 2025-05-25 15:13 一、当安全遇上人工智能:漏洞检测的技术革命 在攻防对抗日益激烈的今天,传统漏洞检测方法面临效率瓶颈。小编将一步步教大家如何通过Cherry Studio的MCP服务构建”AI安全指挥官”,实现BurpSuite的智能调度与自动化漏洞狩猎。 二、技术栈 1. Cher
继续阅读Grafana CVE-2025-4123:SSRF 和账户接管漏洞完整解读
Grafana CVE-2025-4123:SSRF 和账户接管漏洞完整解读 haidragon 安全狗的自我修养 2025-05-24 00:05 https://nightbloodz.github.io/grafana-CVE-2025-4123/ 概括 当 Web 应用程序采用 URL 参数并将用户重定向到指定的 URL 而不进行验证时,就会发生开放重定向。 /redirect?url=h
继续阅读全网震颤!黑客利用文件上传漏洞化身“虚空主宰”,百万服务器集体沦陷!
全网震颤!黑客利用文件上传漏洞化身“虚空主宰”,百万服务器集体沦陷! 勤奋的运营姐姐 EnhancerSec 2025-05-24 00:01 甲方安全团队看到会连夜排查文件上传接口! 白帽子边骂“这漏洞太低级”边点进来学绕过技巧!! 普通用户误以为是科幻小说,点开却被技术细节震撼!!! 算法推荐因“史诗级”“百万”等关键词疯狂推送!!!! 你还在犹豫什么!速速点击关注公众号加入我们吧!!!!!
继续阅读浅谈src挖掘中——文件上传和XSS漏洞的组合拳
浅谈src挖掘中——文件上传和XSS漏洞的组合拳 routing 网络安全者 2025-05-23 16:01 0x1 前言 哈喽,师傅们好! 这次打算给师弟们分享的是XSS之Flash弹窗钓鱼和文件上传getshell各种姿势的内容,然后先是给小白师傅们简单介绍下XSS漏洞和文件上传漏洞。然后后面给师傅们简单演示了XSS之Flash弹窗钓鱼,然后后面很详细的介绍了文件上传和XSS漏洞的组合拳的好
继续阅读【CVE-2025–4123】:Grafana SSRF 及帐户接管利用
【CVE-2025–4123】:Grafana SSRF 及帐户接管利用 原创 骨哥说事 骨哥说事 2025-05-23 16:00 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4339 **不想错过任何消
继续阅读【漏洞预警】Grafana未授权跨站点脚本攻击XSS&SSRF漏洞
【漏洞预警】Grafana未授权跨站点脚本攻击XSS&SSRF漏洞 cexlife 飓风网络安全 2025-05-23 12:25 漏洞描述: Grafana发布安全公告修复了2个安全漏洞,其中包括一个跨站点脚本(XSS)漏洞,该漏洞是由客户端路径遍历和开放重定向的结合造成的。这使得攻击者能够将用户重定向到一个托管前端插件的网站该插件将执行任意的JavaScript,如果安装了Grafan
继续阅读Grafana 紧急提前修复已被公开的XSS 0day漏洞
Grafana 紧急提前修复已被公开的XSS 0day漏洞 Ddos 代码卫士 2025-05-23 10:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Grafana Labs 披露了计划之外的安全发布,修复了一个高危XSS漏洞CVE-2025-4123(CVSS评分7.6)。 该XSS漏洞结合了一个客户端路径遍历漏洞和自定义前端插件中的一个开放重定向漏洞。该漏洞可导致攻击者将不知
继续阅读等保测评中漏洞扫描:筑牢网络安全防线的关键利器
等保测评中漏洞扫描:筑牢网络安全防线的关键利器 国源天顺 2025-05-23 10:12 一、漏洞扫描的定义与核心价值 漏洞扫描是基于CVE、CNVD等权威漏洞数据库,通过自动化工具对信息系统进行系统性安全检测的技术手段。其核心价值在于通过模拟攻击行为,发现系统存在的软件缺陷、配置错误或未修复补丁等安全隐患,为安全加固提供精准依据。在等保测评体系中,漏洞扫描是验证信息系统是否符合《信息安全等级保
继续阅读【漏洞复现】Grafana XSS &SSRF & 账户接管(CVE-2025–4123)
【漏洞复现】Grafana XSS &SSRF & 账户接管(CVE-2025–4123) 原创 安全探索者 安全探索者 2025-05-23 09:53 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Grafana 是一个开源的分析平台,主要用 Go 和 TypeScript 构建,用于可视化来自 Prometheus 和 InfluxDB 等数据源的数据。 搜索语
继续阅读企业内部安全漏洞修复流程的建立与思考
企业内部安全漏洞修复流程的建立与思考 云下信安 2025-05-23 07:25 最近因为工作问题,一直在与企业内部的漏洞修复进行跟进,针对企业内部修复有一些自己的见解 。 笔者根据自己在漏洞修复的具体参与工作,针对这些工作,给出具体实施的时候存在的一些注意事项(偏向具体实施),以及自己的一些心得感受和对安全从业人员的技术要求(踩过不少坑)。 1.漏洞发现与接收 1.1 内部漏洞扫描工具 1.1.
继续阅读疑似俄罗斯APT28组织在全球攻击活动中利用0Day漏洞——每周威胁情报动态第223期 (05.16-05.22)
疑似俄罗斯APT28组织在全球攻击活动中利用0Day漏洞——每周威胁情报动态第223期 (05.16-05.22) 原创 BaizeSec 白泽安全实验室 2025-05-23 01:00 APT攻击 – 疑似俄罗斯 APT28 组织 在全球 攻击 活动中利用 0Day 漏洞 Swan-Vector APT组织通过DLL植入技术针对台湾与日本发动网络攻击 攻击活动 – 知名
继续阅读PDF 生成器漏洞利用:查找 PDF 生成器中 SSRF 漏洞的完整指南
PDF 生成器漏洞利用:查找 PDF 生成器中 SSRF 漏洞的完整指南 Z2O安全攻防 2025-05-22 16:01 PDF 生成器在应用程序中很常见。开发人员倾向于使用这些组件来根据数据库提供的动态数据生成文档。然而,并非所有开发人员都意识到集成此功能可能带来的潜在风险。 在本文中,我们将深入探讨在 PDF 生成器中处理未经清理的用户可控输入的含义,以及如何利用这些特性并升级我们的初步发现
继续阅读JWT原理及常见漏洞详解
JWT原理及常见漏洞详解 小话安全 小话安全 2025-05-22 11:11 一、JWT原理 JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。它通常用于身份验证(Authentication)和授权(Authorization),特别是在分布式系统和无状态服务中。以下是其核心原理和组成部分的详细介绍: 1. JWT 的组成 JWT 由三部分
继续阅读ChatGPT漏洞允许攻击者在共享对话中嵌入恶意SVG与图像文件
ChatGPT漏洞允许攻击者在共享对话中嵌入恶意SVG与图像文件 中科天齐软件安全中心 2025-05-22 10:00 点击 蓝字 关注中科天齐 漏洞详情 研究人员发现ChatGPT存在一个严重安全漏洞(编号CVE-2025-43714),攻击者可利用该漏洞将恶意SVG(可缩放矢量图形)和图像文件直接嵌入共享对话中,可能导致用户遭受复杂的钓鱼攻击或接触到有害内容。 该漏洞影响截至2025年3月3
继续阅读突破限制模式:Visual Studio Code 中的 XSS 到 RCE
突破限制模式:Visual Studio Code 中的 XSS 到 RCE Ots安全 2025-05-21 11:19 2024 年 4 月,我发现了 Visual Studio Code(VS Code <= 1.89.1)中一个高严重性漏洞,该漏洞允许攻击者将跨站点脚本 (XSS) 漏洞升级为完全远程代码执行 (RCE)——即使在受限模式下也是如此。 桌面版 Visual Studi
继续阅读VMware 紧急修复多个漏洞
VMware 紧急修复多个漏洞 Ryan Naraine 代码卫士 2025-05-21 10:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,博通紧急修复多个 VMware 漏洞,可导致数据泄露、命令执行和拒绝服务 (DoS) 攻击,目前不存在应变措施。 博通发布两份公告,至少提到了位于 VMware Cloud Foundation、VMware ESXi、vCenter
继续阅读我的第一个漏洞赏金计划:我如何赚到 1,000 美元
我的第一个漏洞赏金计划:我如何赚到 1,000 美元 haidragon 安全狗的自我修养 2025-05-21 09:16 漏洞赏金狩猎已经在我的雷达上停留了一段时间。在阅读了数十篇文章并深入研究了 HackerOne 的文档之后,我终于决定亲身实践。本文讲述了我如何发现一个微妙却影响深远的漏洞,并最终获得我的第一笔 1,000 美元赏金,以及我在此过程中汲取的经验教训。 奠定基础 和大多数初入
继续阅读【渗透实战系列】|54-小程序渗透记录 通过细节挖掘漏洞的艺术
【渗透实战系列】|54-小程序渗透记录 通过细节挖掘漏洞的艺术 一天要喝八杯水 Hacking黑白红 2025-05-21 08:29 原文于:https://forum.butian.net/share/4229 原文作者:一天要喝八杯水 奇怪安信攻防社区 如侵权请联系删除。 目录: 一、低价享受高价 二、0元购思路 三、输出点思考 四、全站收货地址泄露 简单的0元 五、%模糊查询配合siz
继续阅读信息安全漏洞周报(2025年第20期)
信息安全漏洞周报(2025年第20期) 原创 CNNVD CNNVD安全动态 2025-05-21 07:41 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年5月12日至2025年5月18日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1118个。 接报漏洞情况 本周CNNVD接报漏洞11529个,其中信息技术产品漏洞(通用型漏洞)378个
继续阅读俄 APT 组织利用0day漏洞和擦除器加强对欧洲的攻击
俄 APT 组织利用0day漏洞和擦除器加强对欧洲的攻击 会杀毒的单反狗 军哥网络安全读报 2025-05-21 01:01 导读 ESET 表示,2024 年底和 2025 年初,俄罗斯黑客组织的恶意网络活动强度增强。 ESET Research在其《2024 年第四季度至 2025 年第一季度APT 活动报告》中记录了 2024 年 10 月至 2025 年 3 月期间全球主要 APT 组织的
继续阅读商用漏洞扫描器的盲区:为什么越权漏洞总被漏检?
商用漏洞扫描器的盲区:为什么越权漏洞总被漏检? 原创 筑梦网安 全栈安全 2025-05-20 16:04 导语: 2021年某电商平台曝出重大越权漏洞,黑客可任意查看用户订单,然而该漏洞在全年12次系统扫描中均未被发现。这背后折射出商用扫描工具的最大盲区——越权漏洞检测。本文将会解析这一安全困境的技术本质。 一、越权漏洞:权限体系的”万能钥匙” 漏洞原理 : –
继续阅读大众汽车应用程序再曝安全漏洞,泄露车主敏感信息;410GB TeleMessage泄露数据被DDoSecrets收录 | 牛览
大众汽车应用程序再曝安全漏洞,泄露车主敏感信息;410GB TeleMessage泄露数据被DDoSecrets收录 | 牛览 安全牛 2025-05-20 09:23 新闻速览 •Pwn2Own柏林2025黑客大赛谢幕: 利用28个零日漏洞赢走超百万美元奖金 •410GB TeleMessage泄露数据被DDoSecrets收录 •三款手机监控软件或因泄露数据集体下线 •超4万iOS应用滥用私有
继续阅读EDUSRC | 两个证书站小程序漏洞挖掘思路及方法
EDUSRC | 两个证书站小程序漏洞挖掘思路及方法 zkaq-满心欢喜 掌控安全EDU 2025-05-20 04:02 扫码领资料 获网安教程 本文由掌控安全学院 – 满心欢喜 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 一、信息收集思路及技巧 注:这一段信息收集思路及技巧是笔者借鉴我大湘安无事的大佬–沫颜
继续阅读微步再获评CNNVD“高质量漏洞优秀贡献奖”、“年度优秀技术支撑单位”
微步再获评CNNVD“高质量漏洞优秀贡献奖”、“年度优秀技术支撑单位” 微步在线 2025-05-20 03:00 近日,国家信息安全漏洞库(CNNVD)发布2024年度评选结果,微步凭借在漏洞挖掘、分析及响应领域的持续积极参与,连续三年蝉联“年度优秀技术支撑单位”与“高质量漏洞优秀贡献单位”两项荣誉。 作为网络空间安全的核心战略资源,漏洞治理事关国家安全与数字经济发展全局。作为以“威胁情报(TI
继续阅读CNVD漏洞周报2025年第18期
CNVD漏洞周报2025年第18期 国家互联网应急中心CNCERT 2025-05-20 02:02 2 0 2 5 年 0 5 月1 2 日 – 2 0 2 5 年 0 5 月18 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞 363个,其中高危漏洞181个
继续阅读CNVD漏洞周报2025年第18期
CNVD漏洞周报2025年第18期 国家互联网应急中心CNCERT 2025-05-20 02:02 2 0 2 5 年 0 5 月1 2 日 – 2 0 2 5 年 0 5 月18 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞 363个,其中高危漏洞181个
继续阅读逻辑漏洞中一些自己总结关于验证码的漏洞挖掘
逻辑漏洞中一些自己总结关于验证码的漏洞挖掘 迪哥讲事 2025-05-19 12:35 0x01 短信轰炸 通过抓取发送短信的数据包,然后可以把该数据包一直重放达到无限制的去发送短信或者是邮件 绕过方法 程序员可能会对发送验证码做一定的限制,但是由于考虑不周全还是可以被绕过 在”phone”字段前后添加字符绕过 +86 //在前面添加 tab %20 + 字母 … C
继续阅读推荐一个专为新手打造的漏洞挖掘实战圈
推荐一个专为新手打造的漏洞挖掘实战圈 安全渗透感知 FreeBuf知识大陆APP 2025-05-19 11:30 面对挖洞时毫无头绪? 你不是一个人在战斗! 想学习漏洞挖掘,却苦于不知道从哪里开始? 看着师傅们一边提交漏洞一边领赏,你却连个POC都写不出来? 打开各类公开资料,零散又重复,学完感觉自己还是什么都不会? 尝试搭建靶场,环境一堆报错、漏洞复现卡壳,信心受挫? 这不是你的问题——而是缺
继续阅读