【中秋团圆,安全相伴】Xray社区PoC悬赏活动邀您共赏月圆之夜!
【中秋团圆,安全相伴】Xray社区PoC悬赏活动邀您共赏月圆之夜! CT Stack 安全社区 2024-08-22 11:55 中秋佳节 MID-AUTUMN FESTIVAL { 海上生明月 天涯共此时 } 中秋 佳节 中秋佳节将至 xray社区在此 向各位师傅致以最诚挚的问候 在这个团圆的时刻 我们不仅庆祝家人的相聚 也不忘守护网络安全的使命 为此,我们特别推出 中秋节特别版PoC悬赏活动
继续阅读标签: 代码
(CVE-2024-7971) Chrome为0day紧急更新
(CVE-2024-7971) Chrome为0day紧急更新 独眼情报 2024-08-22 11:55 Google 发布了 Chrome 紧急更新(版本 128.0.6613.84/85),以应对一个被积极利用的零日漏洞 (CVE-2024-7971)。此漏洞被归类为 V8 JavaScript 引擎中的类型混淆问题,对用户构成重大风险。 类型混淆漏洞可让攻击者在受害者的机器上执行恶意代码,
继续阅读第101篇:一个绕过5层权限校验的0day漏洞的代码审计分析
第101篇:一个绕过5层权限校验的0day漏洞的代码审计分析 原创 abc123info 希潭实验室 2024-08-21 23:31 Part1 前言 大家好,我是ABC_123 。这是我的第101篇原创技术文章,好久没有给大家分享代码审计类的分析了。前一阵子网友发来一个从流量设备中抓到的0day漏洞,不理解其绕过CAS单点登录及Shiro组件的权限校验 的原理,我也好奇分析了一下,不禁感叹这位
继续阅读第十五课-系统学习代码审计:SSRF漏洞利用和常见防御写法以及绕过方式
第十五课-系统学习代码审计:SSRF漏洞利用和常见防御写法以及绕过方式 开发小鸡娃 安全随心录 2024-08-21 22:31 SSRF漏洞 读完需要 6 分钟 速读仅需 2 分钟 视频教程:( https://www.bilibili.com/video/BV1KT421k7ZE ) 主要内容: 1、Java 中发起网络请求的常见类 2、不同类支持的不同协议 3、防御手法 4、绕过手法 /SS
继续阅读CVE-2024-7928 FastAdmin 任意文件读取 全网20w+潜在风险资产 含批量验证脚本
CVE-2024-7928 FastAdmin 任意文件读取 全网20w+潜在风险资产 含批量验证脚本 合规渗透 合规渗透 2024-08-21 21:38 fofa icon_hash="-1036943727" 漏洞复现: poc GET /index/ajax/lang?lang=..//..//application/database HTTP/1.1 Accept:
继续阅读让XSS漏洞无处遁形!0x1
让XSS漏洞无处遁形!0x1 迪哥讲事 2024-08-21 20:53 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 背景 安全小白团 今天我将讨论使用不同技术的多种跨站脚本(XSS) 攻击,这是我在参与各种漏洞赏金计划时发现的。 XSS:(跨站脚本)是一种安全漏洞,当攻击者向其他用户查看的网页中注入恶意脚本时,这种漏
继续阅读【安全圈】适用于macOS的多个微软应用程序发现库注入漏洞,用户数据安全受威胁
【安全圈】适用于macOS的多个微软应用程序发现库注入漏洞,用户数据安全受威胁 安全圈 2024-08-21 19:01 关键词 安全漏洞 根据 Cisco Talos 的最新研究,macOS 上的八个微软应用程序容易受到库注入攻击,有可能让攻击者劫持应用程序的权限并泄露敏感数据。 受影响的微软应用程序包括 Microsoft Teams、Outlook、PowerPoint 和 Word 等流行
继续阅读漏洞分析 | Apache Tomcat 信息泄露漏洞 (CVE-2024-21733)
漏洞分析 | Apache Tomcat 信息泄露漏洞 (CVE-2024-21733) 塞讯安全验证 2024-08-21 18:16 Apache Tomcat 信息泄露漏洞 (CVE-2024-21733),影响范围包括 Tomcat 9.0.0-M11 至 9.0.43 版本及 8.5.7 至 8.5.63 版本。当受影响版本的 Tomcat 无法正确处理 POST 请求的 Content
继续阅读Atlassian Bamboo Data Center and Server中存在RCE漏洞
Atlassian Bamboo Data Center and Server中存在RCE漏洞 DO SON 代码卫士 2024-08-21 18:08 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Atlassian 公司发布 Bamboo Data Center and Server 产品安全公告,修复了一个高危的远程代码执行 (RCE) 漏洞CVE-2024-21689,CVSS评分
继续阅读[CTF复现计划]2024巅峰极客初赛 easy_java
[CTF复现计划]2024巅峰极客初赛 easy_java 原创 DatouYoo 大头SEC 2024-08-21 18:02 题目信息 本题涉及知识点:JDK17不出网打CB(实则CC) • 题目类型:CTF • 题目名称:2024巅峰极客初赛 easy_java • 内部端口:8088 启动脚本 docker run -itd -p 18088:8088 -e FLAG=flag{83828
继续阅读印度国家支付系统部分中断:因供应商高风险漏洞迟迟不修后被黑
印度国家支付系统部分中断:因供应商高风险漏洞迟迟不修后被黑 关键基础设施安全应急响应中心 2024-08-21 16:10 图:National Payments Corporation of India / Facebook Jenkins官方在今年1月修复CVE-2024-23897漏洞时POC已公开,距今已有半年多时间,但是C-Edge Technologies并没有及时修复,以至于遭到攻击
继续阅读F5修复BIG-IP 和 NGINX Plus 中的多个高危漏洞
F5修复BIG-IP 和 NGINX Plus 中的多个高危漏洞 Ionut Arghire 代码卫士 2024-08-20 18:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 F5 公司发布2024年8月季度安全通告,为9个漏洞发布补丁,其中包括为 BIG-IP和NGINX Plus 高危漏洞发布的补丁。 在这些漏洞中,最严重的是影响 BIG-IP Next Central Man
继续阅读攻防演练实录 | 360安全大模型再狙0day漏洞,助蓝队“上大分”!
攻防演练实录 | 360安全大模型再狙0day漏洞,助蓝队“上大分”! 360数字安全 2024-08-20 18:26 攻防演练中,攻击方(红队)手握0day漏洞这一“杀手锏”,利用防守方(蓝队)对漏洞未知的信息差进行攻击。这类攻击往往具备更高的成功率,因为一般安全监测和防御体系难以应对未知威胁。 能否防御0day漏洞攻击,成为检验防守方安全防御体系的重要标准。近日,360安全大模型在攻防演习期
继续阅读某报表玩坏的反序列化漏洞
某报表玩坏的反序列化漏洞 uname 黑伞安全 2024-08-20 16:36 起因 某次护网应急响应,发现了最新版的某报表的被打掉了,日记记录channel触发的反序列化进行攻击的,和springkill大哥一起愉快调试两天了,想着已经玩了一个多月,差不多见光死了,就和大家分享下得了。 历史漏洞 某报表channel反序列化漏洞历史爆出三个链子,一个cb, 一个singobject的二次反序列
继续阅读涉及办公环境安全!某微e-cology远程代码执行漏洞风险通告
涉及办公环境安全!某微e-cology远程代码执行漏洞风险通告 你信任的 亚信安全 2024-08-20 16:12 今日,亚信安全CERT监控到某微发布官方安全通告,披露了e-cology远程代码 执行漏洞。该漏洞允许攻击者通过e-cology-10.0前台获取管理员访问令牌,然后利用JDBC反序列化,实现远程代码执行。 目前厂商官方已发布修复版本。亚信安全CERT建议客户升级安全补丁包至10.
继续阅读“源”聚创新力量,“洞”见安全未来:360漏洞云亮相GOGC,共促开源漏洞安全发展
“源”聚创新力量,“洞”见安全未来:360漏洞云亮相GOGC,共促开源漏洞安全发展 360漏洞云 2024-08-20 12:55 近日,“GOGC 2024全球开源极客嘉年华”在上海张江科学会堂盛大开幕。此次活动由上海市经信委和中国电子指导,浦东新区科经委、张江科建办、张江集团支持,上海浦东软件园与开源中国联合主办,汇集了来自世界各地的顶尖开发者、开源爱好者、企业家和技术领袖,共同探讨开源技术的
继续阅读【安全圈】紧急!WPS被曝出现两个严重漏洞:且已被利用
【安全圈】紧急!WPS被曝出现两个严重漏洞:且已被利用 安全圈 2024-08-20 10:56 关键词 安全漏洞 2024年8月20号最新消息,广泛使用的办公软件套件WPS Office被曝出存在两个严重的安全漏洞,可能导致用户遭受远程代码执行攻击。根据安全研究人员的报告,这些漏洞已被标识为CVE-2024-7262和CVE-2024-7263,且其CVSS评分高达9.3,表明其严重性和被利用的
继续阅读WPS Office两个严重漏洞曝光,已被武器化且在野利用
WPS Office两个严重漏洞曝光,已被武器化且在野利用 流苏 FreeBuf 2024-08-19 18:44 WPS Office作为一款用户基数超过2亿的广泛使用的办公套件,被发现存在两个关键漏洞(CVE-2024-7262和CVE-2024-7263),这些漏洞可能导致用户遭受远程代码执行攻击。这两个漏洞的CVSS评分为9.3,表明它们的严重性很高,且易于被利用。其中CVE-2024-7
继续阅读Copy2Pwn 0day 被用于绕过 Windows 防护措施
Copy2Pwn 0day 被用于绕过 Windows 防护措施 Eduard Kovacs 代码卫士 2024-08-19 17:26 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 趋势科技ZDI详述了一个最近修复的且被网络犯罪分子用于绕过 Windows 防护措施的0day 漏洞 (CVE-2024-38213) 详情。 该漏洞被 ZDI 称为 “Copy2Own”,由微软在2024年
继续阅读SolarWinds Web Help Desk是 0day时或已遭利用
SolarWinds Web Help Desk是 0day时或已遭利用 Ionut Arghire 代码卫士 2024-08-19 17:26 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全局CISA在上周四提醒称,位于SolarWinds Web Help Desk 中一个新的严重漏洞已遭利用。 该漏洞的编号为CVE-2024-28986(CVSS评分9.8),是一个Jav
继续阅读雷神众测漏洞周报2024.08.12-2024.08.18
雷神众测漏洞周报2024.08.12-2024.08.18 雷神众测 雷神众测 2024-08-19 17:08 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读关于防爬虫及服务器漏洞扫描相关问题的探讨| 总第258周
关于防爬虫及服务器漏洞扫描相关问题的探讨| 总第258周 原创 群秘 君哥的体历 2024-08-19 16:01 0x1本周话题 话题一:大家防爬虫有啥好方法么?有几个接口每天定点频率很低的来爬,每个 ip 就查询 1-2 次,查询条件精准输入,绕过了网易盾的验证码,阿里云 waf 也没防住。 A1:限制非登录用户的访问。 A2:是需要登陆后访问的,这基本的条件是有的。是微信小程序、
继续阅读「漏洞复现」用友NC psnImage/download SQL注入漏洞
「漏洞复现」用友NC psnImage/download SQL注入漏洞 冷漠安全 冷漠安全 2024-08-19 15:26 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读【hw】2024护网漏洞情报-第十七弹
【hw】2024护网漏洞情报-第十七弹 makabak 星网实验室 2024-08-19 15:03 免责声明 此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们! 0x01 情报列表 A43-2Avcon-网络视频服务系统-PermissionAC A44-1Avcon-
继续阅读用友U8-CRM的exportdictionary.php接口处存在SQL注入漏洞【漏洞复现|附nuclei-POC】
用友U8-CRM的exportdictionary.php接口处存在SQL注入漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2024-08-19 14:42 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 用友U8-CRM的/de
继续阅读通过系统调用 (POC) 绕过 AV/EDR 挂钩
通过系统调用 (POC) 绕过 AV/EDR 挂钩 原创 影域 影域实验室 2024-08-19 14:36 免责声明: 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文
继续阅读新的 Webkit 漏洞可让攻击者利用 PS4 和 PS5 游戏机发起攻击
新的 Webkit 漏洞可让攻击者利用 PS4 和 PS5 游戏机发起攻击 山卡拉 嘶吼专业版 2024-08-19 14:00 PS4和PS5中的WebKit漏洞指的是其浏览器中发现的WebKit引擎漏洞。 这些漏洞在Safari和Chrome等浏览器中被发现,由于PS4和PS5共享相同的WebKit代码库,因此它们也可能存在这些漏洞。 尽管单独的WebKit漏洞不足以进行越狱,但它却是关键的第
继续阅读【漏洞复现】某蓝企业管理系统 GetFieldJson SQL注入漏洞
【漏洞复现】某蓝企业管理系统 GetFieldJson SQL注入漏洞 Superhero Nday Poc 2024-08-19 10:04 0x00 免责声明 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请
继续阅读Windows TCP/IP 远程执行代码漏洞 CVE-2024-38063
Windows TCP/IP 远程执行代码漏洞 CVE-2024-38063 云梦DC 云梦安全 2024-08-19 09:32 漏洞背景 2024年8月13日,微软发布了一个高危的安全漏洞公告,涉及Windows操作系统中的TCP/IP协议栈。该漏洞被标识为CVE-2024-38063,属于远程代码执行(RCE)漏洞,具有极高的攻击潜力。这一漏洞使得攻击者能够通过网络发送特制的数据包,从而在目
继续阅读人工智能可以发现基础设施软件中的漏洞吗?
人工智能可以发现基础设施软件中的漏洞吗? 原创 网络研究观 网络研究观 2024-08-18 23:59 未来一年,七支团队将完善人工智能系统,旨在强化关键基础设施所依赖的开源软件。 获胜者将在明年的 DEF CON 黑客大会上宣布。 这些团队都是人工智能网络挑战赛(AIxCC)上一轮得分最高的团队,每人获得 200 万美元奖金 以继续他们的工作。 美国大部分基础设施都运行在开源工具上,这些工具可
继续阅读