漏洞预警 | XStream栈溢出漏洞
漏洞预警 | XStream栈溢出漏洞 浅安 浅安安全 2024-11-16 00:01 0x00 漏洞编号 – CVE-2024-47072 0x01 危险等级 – 高危 0x02 漏洞概述 XStream是一个用于在Java对象和XML之间相互转换的工具,它能够将Java对象序列化为XML或JSON格式,也可以将XML或JSON格式的数据反序列化为Java对象,从而简化
继续阅读标签: 代码
compiler explorer 轻松从汇编角度理解代码
compiler explorer 轻松从汇编角度理解代码 进击的HACK 2024-11-15 23:55 介绍 compiler explorer 是一个交互式编译探索网站。用C、c++、c#、f#、Rust、Go、D、Haskell、Swift、Pascal、ispc、Python、Java或其他30多种支持的语言组件编辑代码,并查看代码在实时编译后的样子。 声明:文中所涉及的技术、思路和工
继续阅读【漏洞预警】D-Link-DNS 多款产品未公开接口/sc_mgr.cgi 存在远程命令执行漏洞
【漏洞预警】D-Link-DNS 多款产品未公开接口/sc_mgr.cgi 存在远程命令执行漏洞 thelostworld 2024-11-15 20:24 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与
继续阅读【安全圈】打补丁要快!0Day漏洞正在被黑客广泛利用
【安全圈】打补丁要快!0Day漏洞正在被黑客广泛利用 安全圈 2024-11-15 19:00 关键词 零日漏洞 近日,美国、英国、加拿大、澳大利亚和新西兰(五眼联盟)网络安全机构联合发布了报告,公布了2023年最常被利用的漏洞清单。其中,零日漏洞已经成为黑客最常利用的漏洞类型。 该警告强调,攻击者们正越来越多地利用零日漏洞入侵企业,与2022年相比,零日漏洞利用的有所增长。 与前几年旧的、未修补
继续阅读LLM大模型安全(4)- 供应链漏洞
LLM大模型安全(4)- 供应链漏洞 原创 比心皮卡丘 暴暴的皮卡丘 2024-11-15 18:08 本篇为大模型系列第四篇,讲述供应链漏洞;涉及较广,包含代码三方组件,云基础K8S、模型库等等,在本文最后章节介绍了目前真实应用的漏洞案例。 LLM系列前三篇 LLM大模型安全(1)-快速注入&不安全输出处理 LLM大模型安全(2)-训练数据投毒攻击 LLM大模型安全(3)- 模型DOS攻
继续阅读BlockSec和OKX Explorer达成合作,携手提升链上数据安全与合规等级
BlockSec和OKX Explorer达成合作,携手提升链上数据安全与合规等级 原创 BlockSec BlockSec 2024-11-15 17:58 我们非常开心地宣布BlockSec与OKX Explorer达成全方位战略合作! 此次合作将聚焦 区块链信息协同、产品集成以及API互通 等方面 ,双方将通过深 度整合各自的优势产品,包括BlockSec旗下的资金流追踪与调查平台MetaS
继续阅读PostgreSQL 高危漏洞可导致环境变量被利用
PostgreSQL 高危漏洞可导致环境变量被利用 THN 代码卫士 2024-11-15 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员披露了位于开源数据库系统 PostgreSQL 中的一个高危漏洞,它可导致低权限用户修改环境变量,并可能导致代码执行或信息泄露后果。该漏洞的编号是CVE-2024-10979,CVSS评分8.8。 环境变量是指用户定义的值,它们
继续阅读【已复现】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告第二次更新
【已复现】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告第二次更新 奇安信 CERT 2024-11-15 16:50 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiManager 身份认证绕过漏洞 漏洞编号 QVD-2024-43936,CVE-2024-47575 公开时间 2024-1
继续阅读大语言语言模型安全攻击以及AI供应链漏洞
大语言语言模型安全攻击以及AI供应链漏洞 渊龙Sec安全团队 2024-11-15 11:28 01 简要说明 人工智能和人工智能的安全性正在以惊人的速度发展,AI模型供应链中使用的工具,用于构建机器学习模型,会使AI应用程序容易受到独特的安全威胁。 这些工具是开源的,这意味着它们开箱即用时可能存在漏洞,这些漏洞可直接导致完整的系统接管,例如未经身份验证的远程代码执行或本地文件包含。这意味着什么?
继续阅读【漏洞分享】edu通杀 新中小学智慧校园信息管理系统 Upload 任意文件上传
【漏洞分享】edu通杀 新中小学智慧校园信息管理系统 Upload 任意文件上传 Undoubted Security 2024-11-15 11:00 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 漏洞复现 fofa查询语句: body="/Login/IndexMobi" 利用脚本进行检测:
继续阅读【漏洞复现】某平台-testdb-info-leak信息泄露漏洞
【漏洞复现】某平台-testdb-info-leak信息泄露漏洞 原创 南极熊 SCA御盾 2024-11-15 10:58 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接
继续阅读(0day)微信公众号商家收银台小程序系统存在前台任意文件上传漏洞
(0day)微信公众号商家收银台小程序系统存在前台任意文件上传漏洞 原创 Mstir 星悦安全 2024-11-15 04:00 点击上方 蓝字关注我们 并设为 星标 0x00 前言 微信公众号程序,必须微信认证服务号,微信支付商家 客户扫码,打开商家定义支付页面,输入金额和对应定义信息,提交微信支付,实现快速付款 支持创建多个店铺,各个店铺自定义不同自定义表单。通过自定义表单实现订单自定义明细
继续阅读代码审计-某oa任意文件读取(1day)
代码审计-某oa任意文件读取(1day) 安全洞察知识图谱 2024-11-15 00:30 本文首发于先知社区 https://xz.aliyun.com/t/16202 本人为原创作者 0x01 环境准备 拿到源码之后第一步看是源码是否全面,是否可以搭建起来,如果可以搭建起来就可以用断点调试的方法去调试代码,如果不能就得手动去把一些方法抽象出来,进行调试,我这次拿到的源码不够全面,所以就需要手
继续阅读【漏洞预警】GitLab Kubernetes集群代理未授权访问漏洞(CVE-2024-9693)
【漏洞预警】GitLab Kubernetes集群代理未授权访问漏洞(CVE-2024-9693) cexlife 飓风网络安全 2024-11-14 21:33 漏洞描述: GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目,GitLab 社区版 (CE) 和企业版 (EE)中修复了一个未授权访问漏洞(CVE-2024-9693),其C
继续阅读谷歌AI平台存在漏洞,可泄露企业的专有LLMs
谷歌AI平台存在漏洞,可泄露企业的专有LLMs 代码卫士 2024-11-14 17:52 聚焦源代码安全,网罗国内外最新资讯! 作者:Elizabeth Montalbano 编译:代码卫士 谷歌修复了用于定制大语言模型 (LLMs) 开发和部署的平台 Vertex AI 中的两个漏洞,它们可导致攻击者从系统中提取企业的专有模型。该漏洞再次凸显了AI技术遭恶意操纵后给业务用户带来的危险。 Pal
继续阅读【漏洞通告】Ivanti Endpoint Manager SQL注入漏洞(CVE-2024-50330)
【漏洞通告】Ivanti Endpoint Manager SQL注入漏洞(CVE-2024-50330) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-11-14 16:52 漏洞名称: Ivanti Endpoint Manager SQL注入漏洞(CVE-2024-50330) 组件名称: Ivanti Endpoint Manager 影响范围: Ivanti Endpoint Ma
继续阅读马自达警报:黑客利用未补漏洞发动攻击,你的汽车安全吗?
马自达警报:黑客利用未补漏洞发动攻击,你的汽车安全吗? 数世咨询 2024-11-14 16:01 自2022年底以来,随着生成式人工智能的兴起,网络安全领域遭遇了前所未有的挑战。仅在2023年,勒索软件的支付金额就飙升至超过11亿美元。 多款马自达汽车型号的信息娱乐系统存在漏洞,可能允许黑客以根权限执行任意代码,趋势科技的零日漏洞计划(ZDI)警告称。 ZDI 解释说,这些问题存在是因为马自达连
继续阅读2023年被利用最多的15个漏洞
2023年被利用最多的15个漏洞 原创 再说安全 再说安全 2024-11-14 15:04 FBI、NSA 和五眼联盟网络安全机构于2024年11月12日联合发布了一份警示通报, 揭示了 2023 年最常被利用的 15 个漏洞,其中大多数最初都是以零日漏洞的形式被滥用。这凸显了网络攻击的复杂性和隐蔽性正日益增强,全球网络安全形势面临严峻挑战。 该机构警告称,与 2022 年相比,2023 年恶意
继续阅读springboot环境下的写文件RCE
springboot环境下的写文件RCE 原创 珂字辈 珂技知识分享 2024-11-14 14:49 一、 java特性加载类文件 传统的ssh key/任务计划就不说了,介绍一下已经流行开来的几种java特性加载类文件。 1,charsets.jar LandGrey首发 https://landgrey.me/blog/22/复现过程 https://mp.weixin.qq.com/
继续阅读Web版Java Payload生成与漏洞利用工具
Web版Java Payload生成与漏洞利用工具 Ar3h 潇湘信安 2024-11-14 14:40 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推送,建议大家把 潇湘信安 “
继续阅读【海外SRC漏洞挖掘】参数FUZZ工具Bug修复+实战利用案例(任意用户接管)
【海外SRC漏洞挖掘】参数FUZZ工具Bug修复+实战利用案例(任意用户接管) 原创 fkalis fkalis 2024-11-14 11:17 海外SRC赏金挖掘专栏 在学习SRC,漏洞挖掘,外网打点,渗透测试,攻防打点等的过程中,我很喜欢看一些国外的漏洞报告,总能通过国外的赏金大牛,黑客分享中学习到很多东西,有的是一些新的信息收集方式,又或者是一些骚思路,骚姿势,又或者是苛刻环境的漏洞利用。
继续阅读【漏洞通告】Ivanti Endpoint Manager SQL注入漏洞安全风险通告
【漏洞通告】Ivanti Endpoint Manager SQL注入漏洞安全风险通告 嘉诚安全 2024-11-14 10:49 漏洞背景 近日,嘉诚安全监测到Ivanti官方修复了一个Ivanti Endpoint Manager SQL注入漏洞,漏洞编号为:CVE-2024-50330。 Ivanti Endpoint Manager(EPM)是由Ivanti公司开发的一款综合性端点管理解决
继续阅读挖掘漏洞-小白到脚本小子的进阶之路(小脑篇)
挖掘漏洞-小白到脚本小子的进阶之路(小脑篇) 原创 小白 吉吉说安全 2024-11-13 22:13 书接上篇,小白如何挖掘属于自己的第一个漏洞(无脑篇) ,在这篇文章中我们讲解了小白🥬怎么挖掘漏洞,这个方法很简单但是有个致命的缺点就是 无法在自己 喜欢的妹子面前 装逼, 无法在室友面前 炫耀,这样子 失去了原本的味道,变得黯然无味,那 这篇文章的意义就在于用 炫酷的脚本装一个 大逼,非常的有意
继续阅读【漏洞通告】微软11月多个安全漏洞
【漏洞通告】微软11月多个安全漏洞 网安百色 2024-11-13 19:28 点击上方 蓝字 关注我们吧~ 一、漏洞概述 2024年11月13日,启明星辰集团VSRC监测到微软发布了11月安全更新,本次更新共修复了91个漏洞(不包括之前修复的Edge漏洞),漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。 本次安全更新中修复了4个0 day漏
继续阅读nacos身份绕过漏洞
nacos身份绕过漏洞 原创 剑豪321 网络安全学习爱好者 2024-11-13 18:54 漏洞描述 Nacos是一个易于使用的平台,专为动态服务发现和配置以及服务管理而设计。可以帮助您轻松构建云原生应用程序和微服务平台。 Nacos 身份认证绕过漏洞(QVD-2023-6271),开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过
继续阅读Microsoft 11 月 CVE 漏洞预警
Microsoft 11 月 CVE 漏洞预警 网新安服 2024-11-13 18:31 点击上方蓝字关注我们,获取最新消息 1 基本情况 11 月份,Microsoft 发布了 89 个漏洞补丁,解决了 Microsoft Office 和 Office 组件、 Azure、.NET 和 Visual Studio、 LightGBM、 Exchange Server、SQL Server、T
继续阅读掌握内存利用:基础知识、栈溢出、Shellcode、格式化字符串漏洞等
掌握内存利用:基础知识、栈溢出、Shellcode、格式化字符串漏洞等 Very Lazy Tech securitainment 2024-11-13 18:14 Mastering Memory Exploitation Fundamentals, Stack Overflows, Shellcode, Format String Bugs, and… 在网络安全领域,利用漏洞是一种结合系统深
继续阅读2024-11微软漏洞通告
2024-11微软漏洞通告 火绒安全 火绒安全 2024-11-13 18:02 微软官方发布了2024年11月的安全更新。 本月更新公布了425个漏洞, 包含52个远程执行代码漏洞、28个特权提升漏洞、4个拒绝服务漏洞、3个身份假冒漏洞、2个安全功能绕过漏洞、1个信息泄露漏洞、1个深度防御漏洞,其中4个漏洞级别为“Critical”(高危),85个为“Important”(严重)。建议用户及时使
继续阅读刚刚,Citrix 修复两个易遭利用的0day漏洞
刚刚,Citrix 修复两个易遭利用的0day漏洞 Jai Vijayan 代码卫士 2024-11-13 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 在漏洞被公开披露后,Citrix 公司终于非常迅速地发布补丁,修复了位于 Citrix Virtual Apps and Desktop 技术中的两个漏洞(CVE-2024-8068和CVE-2024-8069),它们可导致远
继续阅读原创 Paper | Vigor3900 固件仿真及漏洞分析(CVE-2024-44844、CVE-2024-44845)
原创 Paper | Vigor3900 固件仿真及漏洞分析(CVE-2024-44844、CVE-2024-44845) 原创 404实验室 知道创宇404实验室 2024-11-13 15:36 作者:fan@知道创宇404实验室 时间:2024年11月13日 1.前言 参考资料 我在日常跟踪漏洞情报的过程中,看到 Vigor3900 最新版本固件 1.5.1.6 存在多处后台命令注入漏洞
继续阅读