大模型安全漏洞报告(2024)
大模型安全漏洞报告(2024) 计算机与网络安全 2024-11-25 23:57 进网络安全行业群 微信公众号 计算机与网络安全 回复 行业群 近日,360数字安全集团发布全球首份《大模型安全漏洞报告》(以下简称“报告”),从模型层安全、框架层安全以及应用层安全三大维度探查安全问题,并借助360安全大模型自动化的代码分析能力,对多个开源项目进行代码梳理和风险评估,最终审计并发现了近40个大模型
继续阅读标签: 代码
【1Day】北京亚控科技发展有限公司KingH5Stream系统存在逻辑缺陷漏洞
【1Day】北京亚控科技发展有限公司KingH5Stream系统存在逻辑缺陷漏洞 银遁安全团队 2024-11-25 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **北京亚控科技发展有限公司是一家成立于1997年的工业自动化和信息化软件平台高科技企业。KingH5Stream是基于HTML5技术的优秀视频直播方案,具有低延迟、高性能
继续阅读NDSS 2025新作 | 靠谱的第三方库?VULTURE破解1-Day漏洞难题!
NDSS 2025新作 | 靠谱的第三方库?VULTURE破解1-Day漏洞难题! 原创 Shangzhi Xu SecNotes 2024-11-25 19:19 “ 软件开发的时候,使用第三方库(Thrid Party Library, TPL)早已成为开发者的标配,既省时又省力。但方便的背后,往往藏着 1-Day 漏洞的风险。 我们新开发的工具VULTURE@NDSS 25’,
继续阅读JAVA代码审计-悟空crm客户管理系统fastjson漏洞
JAVA代码审计-悟空crm客户管理系统fastjson漏洞 船山信安 2024-11-25 16:07 一. 本地搭建 版本:Wukong CRM9.0 搭建需要使用myql数据库和redis两个,使用phpstudy搭建即可,mysql数据库的文件为WukongCRM-9.0-JAVA-9.0.1_20191202/src/main/resources/config/crm9-config.t
继续阅读远程未授权访问漏洞(CVE-2024-23692)
远程未授权访问漏洞(CVE-2024-23692) XiaomingX Web安全工具库 2024-11-25 16:02 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
继续阅读Spring Cloud Data Flow高危漏洞(CVE-2024-37084)
Spring Cloud Data Flow高危漏洞(CVE-2024-37084) XiaomingX 网络安全者 2024-11-25 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全
继续阅读【漏洞预警】7-Zip代码执行漏洞CVE-2024-11477
【漏洞预警】7-Zip代码执行漏洞CVE-2024-11477 cexlife 飓风网络安全 2024-11-25 14:06 漏洞描述: 7-Zip是一款免费的开源文件压缩和解压工具,支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式,7-Zip中修复了一个代码执行漏洞(CVE-2024-11477),该漏洞的CVSS评分为7.8。 7-Zip Zstandard解
继续阅读行业 | 360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞
行业 | 360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 中国信息安全 2024-11-25 11:24 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用
继续阅读漏洞赏金技巧:初学者指南(2024)#1
漏洞赏金技巧:初学者指南(2024)#1 原创 再说安全 再说安全 2024-11-25 11:19 本文阅读大约需要10分钟; 本文整理提炼了一份漏洞赏金技巧清单,旨在为初学者提供参与漏洞赏金项目的实用指南。该清单以 Web 站点渗透测试为基础,循序渐进地介绍了漏洞挖掘的核心步骤和常用工具,并通过提供可操作的命令示例,降低入门门槛,即使是初学者也能轻松上手。清单中涵盖的技术和方法,例如子域名枚举
继续阅读漏洞推送|智互联(深圳)科技有限公司SRM智联云采系统receiptDetail存在SQL注入漏洞
漏洞推送|智互联(深圳)科技有限公司SRM智联云采系统receiptDetail存在SQL注入漏洞 小白菜安全 小白菜安全 2024-11-25 10:29 漏洞描述 智互联(深圳)科技有限公司SRM智联云采系统针对企业供应链管理难题,及智能化转型升级需求,智联云采依托人工智能、物联网、大数据、云等技术,通过软硬件系统化方案,帮助企业实现供应商关系管理和采购线上化、移动化、智能化,提升采购和协同效
继续阅读360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞
360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 360数字安全 2024-11-25 10:22 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用背后,也带来诸多新的风险和挑战。 近日,360数字安全集团发布全球首份《大模型安全漏洞报告》
继续阅读【即将开课】系统0day安全-二进制漏洞攻防(第4期)
【即将开课】系统0day安全-二进制漏洞攻防(第4期) 看雪课程 看雪学苑 2024-11-25 09:59 数字化时代,信息安全已成为企业运营的重中之重。二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的底层代码中,一旦被利用,可能导致数据泄露、系统崩溃,甚至更严重的安全事件。为了应对这一挑战,我们精心打造了一门全新的课程——系统0day安全-二进制漏洞攻防(第4期)。 上新价
继续阅读Fuzzing 升级:谷歌通过AI找到更多漏洞
Fuzzing 升级:谷歌通过AI找到更多漏洞 Thomas Claburn 代码卫士 2024-11-25 09:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌的 OSS-Fuzz 项目使用大语言模型 (LLMs) 助力找到代码仓库中的漏洞,目前已识别出26个漏洞,包括在使用广泛的 OpenSSL 库中的一个严重漏洞。 该 OpenSSL 漏洞 (CVE-2024-9143)
继续阅读SRM智联云采系统receiptDetail SQL注入漏洞复现及POC
SRM智联云采系统receiptDetail SQL注入漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-11-25 09:26 FOFA title=="SRM 2.0" 漏洞复现 POC GET /adpweb/api/srm/delivery/receiptDetail?pageSize=1&pageNumber=1&ord
继续阅读【工具分享】Goby最新红队专版下载(1400+POC)
【工具分享】Goby最新红队专版下载(1400+POC) 原创 Swimt 星悦安全 2024-11-25 09:13 点击上方 蓝字 关注我们 并设为 星标 0x00 Goby红队版 Goby是一款基于网络空间测绘技术的新一代网络安全工具,它通过给目标网络建立完整的资产知识库,进行网络安全事件应急与漏洞应急。 Goby可提供最全面的资产识别,目前预置了超过10万种规则识别引擎,能够针对硬件设备和
继续阅读发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! Urkc安全 2024-11-25 09:02 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》 透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发
继续阅读【漏洞通告】7-Zip代码执行漏洞(CVE-2024-11477)
【漏洞通告】7-Zip代码执行漏洞(CVE-2024-11477) 启明星辰安全简讯 2024-11-25 08:59 一、漏洞概述 漏洞名称 7-Zip代码执行漏洞 CVE ID CVE-2024-11477 漏洞类型 整数下溢 发现时间 2024-11-25 漏洞评分 7.8 漏洞等级 高危 攻击向量 本地 所需权限 无 利用难度 低 用户交互 是 PoC/EXP 未公开 在野利用
继续阅读财富 1000 强企业中发现3万个API 暴露 和 10 万个 API 漏洞
财富 1000 强企业中发现3万个API 暴露 和 10 万个 API 漏洞 独眼情报 2024-11-25 08:35 全球千强企业巨头暴露的3万个API和10万个API漏洞 一份关于财富1000强和法国CAC 40指数企业API安全风险的惊人发现。 通过结合先进的子域名枚举、AI驱动的指纹识别和开源情报技术,Escape安全研究团队对财富1000强和CAC 40企业的域名进行了爬取。我们发现了
继续阅读【漏洞分享】泛微OA漏洞 任意文件读取 OA E-Cology ln.FileDownload 任意文件读取
【漏洞分享】泛微OA漏洞 任意文件读取 OA E-Cology ln.FileDownload 任意文件读取 Undoubted Security 2024-11-25 08:00 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 漏洞复现 fofa查询语句: fofa:app="泛微-OA(e-cology)
继续阅读雷神众测漏洞周报2024.11.18-2024.11.24
雷神众测漏洞周报2024.11.18-2024.11.24 原创 雷神众测 雷神众测 2024-11-25 07:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【SQL注入】用友NC process SQL注入漏洞
【SQL注入】用友NC process SQL注入漏洞 原创 1ang 小羊安全屋 2024-11-25 06:49 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PA
继续阅读API攻防 | Web API 安全漏洞挖掘指南!
API攻防 | Web API 安全漏洞挖掘指南! 匿名白帽子 WK安全 2024-11-25 06:40 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏
继续阅读一文读懂CSRF漏洞
一文读懂CSRF漏洞 simple学安全 simple学安全 2024-11-25 06:38 目录 简介 CSRF漏洞全称跨站请求伪造漏洞,攻击者利用目标用户的身份,以目标用户的名义执行相关操作。在目标用户登录了网站的前提下,点击攻击者发送的恶意url,才能触发漏洞。 常见的修改密码、分享文章、点赞、发信息等功能处,都可能存在CSRF漏洞。 漏洞利用 测试CSRF漏洞,主要是使用BurpSuit
继续阅读超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞
超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞 鹏鹏同学 黑猫安全 2024-11-25 03:36 数千台Palo Alto Networks防火墙据报遭到黑客攻击,攻击者利用了最近才修补的零日漏洞(CVE-2024-0012和CVE-2024-9474)在PAN-OS中。 CVE-2024-0012是Palo Alto Networks
继续阅读科荣AIO系统UtilServlet接口处存在代码执行漏【漏洞复现|附nuclei-POC】洞
科荣AIO系统UtilServlet接口处存在代码执行漏【漏洞复现|附nuclei-POC】洞 原创 kingkong 脚本小子 2024-11-25 03:33 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 科荣AIO系统UtilServlet接口处存在代
继续阅读Windows Kerberos严重漏洞,数百万台服务器遭攻击
Windows Kerberos严重漏洞,数百万台服务器遭攻击 天唯科技 天唯信息安全 2024-11-25 03:27 E安全消息,Windows Kerberos身份认证协议中存在一个严重漏洞,对数百万服务器构成了重大威胁。微软在11月补丁星期二更新中解决了此问题。 Microsoft Kerberos是一种广泛使用的用于验证主机或用户身份的身份验证协议。为了利用这个漏洞,未经身份验证的行为者
继续阅读【文末送书】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
【文末送书】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! 异步图书 道一安全 2024-11-25 03:00 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,Hack
继续阅读破解命令注入漏洞:详解原理、绕过技巧与防护策略
破解命令注入漏洞:详解原理、绕过技巧与防护策略 原创 VlangCN HW安全之路 2024-11-25 03:00 在Web安全领域中,命令注入漏洞(OS Command Injection)一直是一个危害严重的安全问题。本文将深入浅出地介绍命令注入漏洞的原理、检测方法、利用技巧以及防护措施。 一、什么是命令注入漏洞? 命令注入漏洞,也称为shell注入,是一种允许攻击者在目标服务器上执行任意操
继续阅读「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞
「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞 冷漠安全 冷漠安全 2024-11-25 02:58 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他
继续阅读【漏洞复现】某平台-cwsfiledown-DownFileBytes-任意文件读取漏洞
【漏洞复现】某平台-cwsfiledown-DownFileBytes-任意文件读取漏洞 原创 南极熊 SCA御盾 2024-11-25 02:42 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文
继续阅读