每周网安资讯 (5.13-5.19)| Siemens SIMATIC PCS neo漏洞预警 交大捷普 2025-05-19 10:14 2025[ 每周网安资讯 ]5.13-5.19 网安资讯 1、国家信息中心牵头编制的国家标准《数据安全技术 政务数据处理安全要求》正式发布 近日,《数据安全技术 政务数据处理安全要求》(GB/T 45396-2025)经国家市场监督管理总局、国家标准化管理委员
继续阅读上周关注度较高的产品安全漏洞(20250512-20250518) 原创 CNVD CNVD漏洞平台 2025-05-19 10:10 一、境外厂商产品漏洞 1、NVIDIA ConnectX权限问题漏洞 NVIDIA ConnectX是一系列智能网络接口卡。NVIDIA ConnectX存在权限问题漏洞,该漏洞源于权限问题处理不当,攻击者可利用该漏洞导致拒绝服务、数据篡改和信息泄露。 参考链接:
继续阅读【漏洞挖掘案例】从XSS到”RCE”的PC端利用链构建 The One安全 2025-05-19 08:36 前言 先铺垫一下。笔者有一个习惯,懒得记各种命令和payload,手工渗透测试时,遇到比较长的payload的情况下,不想一个一个地去手敲命令,于是我之前就在github上想寻找一个类似于记事本的软件,但是最好和我的记录命令的需求适配,于是就找到了一位师傅写的开源项
继续阅读Src捡钱6,为什么大佬总能挖到你挖不到的漏洞(可自定义参数版jsonp、cors) 原创 山河 不止Security 2025-05-19 03:38 免责声明 本公众号不止Security旨在分享网络安全领域的相关知识和工具,仅限于学习和研究之用。由于传播、利用本公众号不止Security所提供的信息而造成的任何直接或者间接的后果及损失,由使用者承担全部法律及连带责任,公众号不止Securit
继续阅读全球政府邮件系统沦陷:黑客利用XSS漏洞发起大规模间谍活动 汇能云安全 2025-05-19 02:12 5月19日,星期一,您好!中科汇能与您分享信息安全快讯: 01 恶意NPM包利用Google日历作为C2中间人实施隐蔽攻击 Veracode威胁研究团队近日发现恶意NPM包”os-info-checker-es6″,巧妙利用Google日历平台作为命令与控制(C2)服务
继续阅读一个漏洞挖掘小工具 – SeeMore Bbdolt 安全洞察知识图谱 2025-05-19 00:29 免责声明 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全洞察知识图谱及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1工具介绍 1、在某系统发现在导入文件时,文件内容没有进
继续阅读政府邮箱被利用XSS漏洞入侵;2024年微软披露漏洞增长11% 计算机与网络安全 2025-05-18 09:57 1 政府邮箱被利用XSS漏洞入侵 近日,安全研究人员披露,一个名为“RoundPress” 的全球网络间谍活动正在持续展开,攻击者通过 Webmail 服务中的数个XSS漏洞,对全球多国政府和关键机构发起邮件窃密攻击。该行动被认为与黑客组织 APT28(又称“Fancy Bear”或
继续阅读猎洞时刻漏洞挖掘SRC旧一期公开课四节!! 原创 猎洞时刻 猎洞时刻 2025-05-18 08:19 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑灰产、非
继续阅读某校园解决方案提供商智慧校园通用漏洞挖掘 原创 zkaq – 满心欢喜 掌控安全EDU 2025-05-17 06:21 扫码领资料 获网安教程 本文由掌控安全学院 – 满心欢喜 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 小编寄语:手拿把恰~ 概述 在近期刷 edu 的 rank 积分过程中,我将精力主要集中在
继续阅读国安部提醒警惕智能穿戴设备泄密,英特尔CPU曝漏洞|一周特辑 威努特安全网络 2025-05-16 23:59 国安部提醒: 警惕智能穿戴设备泄密风险 国家安全部近日发布安全提示 ,智能手表、手环等穿戴设备在提供健康监测、通信便利的同时,可能成为数据泄露的新隐患, 并呼吁公众警惕相关风险。 文章表示,智能设备内置的摄像头、麦克风和定位功能可采集用户生物特征、活动轨迹等敏感信息,一旦数据泄露,可能被
继续阅读一次获取RCE以及提权到root权限的渗透过程 迪哥讲事 2025-05-16 12:30 本文是关于 Apache struts2 CVE-2013-2251 是由于导致执行远程命令的影响而被高度利用的漏洞。简而言之, 通过操纵以“action:”/”redirect:”/”redirectAction:”为前缀的参数引入的漏洞,允许在使用<Struts 2.3.15作为框架的Java
继续阅读我在马路边,捡到两年前的RCE了 原创 private null 轩公子谈技术 2025-05-16 07:42 春日午后,我沿着杨柳大道悠闲溜达。暖融融的阳光穿过新抽嫩芽的柳枝,在柏油路上折射出细碎的金斑。道旁绿化带里,嫩绿的草叶间零星点缀着淡紫色野花,春风拂过,柳絮如雪般轻盈飘落。不经意间,一抹黑色闯入视野 —— 绿化带边缘的枯叶堆里,半支黑色 U 盘闪着金属冷光,在阳光下折射出奇异的反光,像
继续阅读Jenkins 插件漏洞暴露严重风险:CVE-2025-47889 漏洞 CVSS 评分达 9.8,存在身份验证绕过漏洞 Ots安全 2025-05-16 06:41 Jenkins 是一款流行的开源自动化服务器,是许多开发和运营团队的关键工具。最近的一份安全公告指出,Jenkins 插件中存在多个严重漏洞,对 Jenkins 安装构成重大风险。 CVE-2025-47884:通过 OpenID
继续阅读Webpack源码泄露漏洞批量探测 回忆潋红雨 神农Sec 2025-05-16 02:23 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 原文链接: https://xz.aliyun.com/news
继续阅读俄黑客组织 APT28 利用 MDaemon 0day漏洞攻击Webmail 服务器 会杀毒的单反狗 军哥网络安全读报 2025-05-16 01:00 导读 根据 ESET 的最新发现,与俄罗斯有关的威胁组织涉嫌通过跨站点脚本 (XSS) 漏洞(包括 MDaemon 中的0day漏洞)针对 Roundcube、Horde、MDaemon 和 Zimbra 等网络邮件服务器进行网络间谍活动。 这项
继续阅读红队视角下的 .NET 安全审计,记一次 .NET 程序的漏洞发现之旅 专攻.NET安全的 dotNet安全矩阵 2025-05-16 00:40 进行.NET项目的代码安全审计时,往往需要从整体结构入手,逐步深入到每一个关键处理点,特别是用户输入处理、数据库操作、认证与会话管理等敏感环节。由于.NET程序多为“单入口 + 多逻辑分支”结构,加之Visual Studio生成的工程结构较为规整,因
继续阅读WEB漏洞扫描器Invicti-Professional-V25.5(自动化爬虫漏洞扫描)更新 原创 城北 渗透安全HackTwo 2025-05-15 16:01 前言 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 Invicti Professional Edition
继续阅读从XSS到”RCE”的PC端利用链构建 原创 X1ly?S 蚁景网络安全 2025-05-15 09:41 前言 先铺垫一下。笔者有一个习惯,懒得记各种命令和payload,手工渗透测试时,遇到比较长的payload的情况下,不想一个一个地去手敲命令,于是我之前就在github上想寻找一个类似于记事本的软件,但是最好和我的记录命令的需求适配,于是就找到了一位师傅写的开源项目
继续阅读如何从漏洞POC或者EXP代码中学习漏洞原理? 原创 道玄安全 道玄网安驿站 2025-05-15 09:34 “ 逆推也很重要。” PS:有内网web自动化需求可以私信 01 — 导语 从漏洞POC(Proof of Concept)或EXP(Exploit)代码中学习漏洞原理和发现方法,是一个需要系统性分析、逆向思维和实践结合的过程。以下是具体步骤和方法: 1. 掌握基础知识 漏洞类型 :了
继续阅读漏洞挖掘之 FOFA 语法技巧 原创 骨哥说事 骨哥说事 2025-05-15 06:16 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4267 **不想错过任何消息?设置星标↓ ↓ ↓ 假设以 examp
继续阅读OttoKit插件CVSS 9.8“幽灵连接”提权漏洞(CVE-2025-27007)遭闪电利用,深度技术剖析与防御指南 原创 Hankzheng 技术修道场 2025-05-15 03:30 一款拥有超过10万活跃安装量的知名WordPress自动化插件——OttoKit (前身为SureTriggers)——正面临一场严峻的安全风暴。该插件被曝出包括一个CVSS评分为9.8(严重级别)的权限提
继续阅读用友U8 CRM最新SQL注入漏洞及解决方法(CNVD-2025-09018) 原创 护卫神 护卫神说安全 2025-05-15 02:28 用友U8 CRM是用友网络针对成长型企业推出的客户关系管理系统,聚焦客户全生命周期管理。其核心功能涵盖客户信息整合、销售机会跟进、市场活动管理及售后服务处理,支持从线索挖掘到订单成交的全流程自动化。系统内置销售漏斗分析工具,可实时监控商机推进阶段,科学预测销
继续阅读3个月测一站!漏洞挖掘纯享版 蚁景网安 2025-05-14 08:30 好久前偶遇一个站点,前前后后大概挖了三个月才基本测试完毕,出了好多漏洞,也有不少高危,现在对部分高危漏洞进行总结分析。 nday进后台: 开局一个登录框: 通过熊猫头插件提取接口,并结合js分析,跑遍了提取到的路径也没有结果。尝试弱口令登录,但是由于连用户名提示都没有,也以失败告终。最后根据页面title关键字搜索找到该平台
继续阅读信息安全漏洞周报(2025年第19期) 原创 CNNVD CNNVD安全动态 2025-05-14 08:02 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年5月5日至2025年5月11日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞921个。 接报漏洞情况 本周CNNVD接报漏洞6920个,其中信息技术产品漏洞(通用型漏洞)226个,网络
继续阅读客户端漏洞在红蓝对抗中的挖掘与利用 原创 白鵺实验室 京东安全应急响应中心 2025-05-13 10:08 客户端风险 背景概述 客户端软件是指在用户的设备上运行的程序,通常用于访问和与服务器进行交互。它们可以提供各种功能,包括数据处理、用户界面和网络连接。常见的客户端软件有办公软件(Office、WPS等),浏览器(Google Chrome, Safari等),邮箱(Microsoft Ou
继续阅读PHP 静态分析漏洞挖掘:挑战、对策与研究进展综述 网安探索员 网安探索员 2025-05-12 12:00 原文链接: https://forum.butian.net/share/4308 静态应用安全测试 SAST(Static Application Security Testing)是指基于静态分析技术,在无需实际运行程序的情况下分析代码的语义和行为,找出潜在的漏洞从而保障软件的安全。本
继续阅读谷歌发布《2024年零日漏洞利用分析》:安全产品风险激增 原创 安全419 安全419 2025-05-12 10:24 近日,谷歌发布了《2024年零日漏洞利用分析》,报告揭示了攻击者不断变化的零日漏洞利用方式,以及零日漏洞利用正瞄准数量更多、种类更广泛的企业产品。现将部分观点摘录如下,以供参考。 零日漏洞利用仍在逐步增加 2024 年在实际攻击中被利用的零日漏洞有 75 个,这一数量相比 20
继续阅读CNVD漏洞周报2025年第17期 原创 CNVD CNVD漏洞平台 2025-05-12 09:38 2 0 2 5 年 0 4 月 28 日 – 2 0 2 5 年 0 5 月11 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞536个,其中高危漏洞272个
继续阅读java代码审计之常见漏洞学习 原创 Z0安全 Z0安全 2025-05-12 06:24 前言 Java代码审计中常见的一些漏洞学习总结以及一些审计思路。 1. SQL注入:数据库的隐形杀手 成因 未过滤的用户输入直接拼接至SQL语句,导致恶意SQL执行。 高危场景 • MyBatis:使用${} 动态拼接参数(如like ‘%${title}%’ ) • Hiberna
继续阅读赏金故事 | 挖掘Netflix Dispatch中的管理员账户接管漏洞 白帽子左一 白帽子左一 2025-05-12 04:03 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 引言 在暂停参与 Netflix 漏洞赏金计划一段时间后,我决定再次尝试一次。 我在 Netflix 的 Dispatch 项目中发现了一个有趣的
继续阅读