汽车网络安全 — 漏洞该如何管理
汽车网络安全 — 漏洞该如何管理 谈思实验室 2024-07-19 17:53 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 01 漏洞获取途径汇总 俗话说站在巨人的肩膀上可以看得更远,在谈漏洞管理之前,了解历史上有哪些汽车网安事件,汽车威胁在哪里可以获取,对我们开展业务是非常有帮助的。 这里列举几个分享这些情报的平台: AUTO-ISAC:成立于2015年,是国外OEM共同维护
继续阅读标签: 代码
安全验证与传统评估方法的比较:红队、渗透性测试和漏洞评估
安全验证与传统评估方法的比较:红队、渗透性测试和漏洞评估 塞讯安全验证 2024-07-19 17:46 随着网络入侵事件的激增,以及对抗性技术的迅猛发展,我们发现传统的安全评估方法已经难以跟上时代的步伐。这些方法的局限性开始超越它们所带来的价值,企业采用它们往往只是为了满足合规要求,而非真正为了识别和解决安全弱点。 许多组织已经认识到,传统的安全评估方法,如 简单识别系统和网络漏洞,或 重复典型
继续阅读【已复现】JumpServer 多个高危后台漏洞安全风险通告
【已复现】JumpServer 多个高危后台漏洞安全风险通告 奇安信 CERT 2024-07-19 16:38 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 JumpServer 多个高危后台漏洞 漏洞编号 CVE-2024-40628、CVE-2024-40629 公开时间 2024-07-18 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 9.9 威胁类型 代
继续阅读【已复现】Nacos Derby 远程命令执行漏洞(QVD-2024-26473)安全风险通告
【已复现】Nacos Derby 远程命令执行漏洞(QVD-2024-26473)安全风险通告 奇安信 CERT 2024-07-19 16:38 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Nacos Derby 远程命令执行漏洞 漏洞编号 QVD-2024-26473 公开时间 2024-07-15 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 9.8 威胁类
继续阅读建设全流程漏洞闭环管理机制,筑牢关基安全屏障
建设全流程漏洞闭环管理机制,筑牢关基安全屏障 关键基础设施安全应急响应中心 2024-07-19 15:21 当前,网络空间面临的威胁日益严峻,有组织、有目的的网络攻击事件频发,对国家安全以及数字经济稳定构成了重大挑战。漏洞作为网络攻击者入侵系统的主要突破口,已成为影响国家安全和数字经济安全的重要因素。数量不断攀升的各类漏洞不仅威胁着网络系统的正常运行和数据安全,更有可能对国家安全、社会稳定和经济
继续阅读漏洞通告 | 已修复!Nacos RCE 漏洞
漏洞通告 | 已修复!Nacos RCE 漏洞 原创 微步情报局 微步在线研究响应中心 2024-07-19 14:31 漏洞概况 Nacos是一个动态命名和配置服务的开源项目,旨在帮助用户构建云原生应用。它提供了动态服务发现、配置管理和服务共享等基础设施,适用于各种云环境,包括私有云、混合云和公有云。 2024年7月15日,微步漏洞团队监测到Nacos远程命令执行漏洞(https://x.thr
继续阅读工具 | Jeecg-Boot综合漏洞利用GUI
工具 | Jeecg-Boot综合漏洞利用GUI MInggongK 渗透安全团队 2024-07-18 22:21 由于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 1► 工具介绍 Jeecg综合漏洞利用工具集成了多模块漏洞利用,包括一键漏洞检测,单独选择模块检测,cmdshell模块,文件上传模块,批量检测模块等 v3.0版本内置的标准库外,在检测模块加入了okhttp的三方库,
继续阅读Atlassian 修复Confluence等产品中的多个高危漏洞
Atlassian 修复Confluence等产品中的多个高危漏洞 Ionut Arghire 代码卫士 2024-07-18 21:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,软件厂商 Atlassian 发布安全更新,修复了位于 Bamboo、Confluence 和 Jira 产品中的多个高危漏洞。 Atlassian 公司紧急呼吁用户注意 Bamboo Data C
继续阅读专题·漏洞治理 | 对漏洞治理体系革新发展的思考与建议
专题·漏洞治理 | 对漏洞治理体系革新发展的思考与建议 CNNVD安全动态 2024-07-18 20:46 文 | 哈尔滨工业大学 张兆心 孔珂; 北京邮电大学 刘欣然 网络空间作为 21 世纪国家主权的新疆域,其战略意义与日俱增。漏洞治理是构筑网络安全基石的关键环节,它不仅承载着捍卫国家网络主权的重任,也是维护数字领土完整与安全的核心策略。漏洞治理涉及技术、管理、政策及法律等多个层面,不仅需要
继续阅读思科紧急通告:本地智能软件管理器曝出高危漏洞,安全升级刻不容缓!
思科紧急通告:本地智能软件管理器曝出高危漏洞,安全升级刻不容缓! 信息安全大事件 2024-07-18 20:05 Cisco 已发布修补程序,以解决影响 Smart Software Manager On-Prem (Cisco SSM On-Prem) 的最大严重性安全漏洞,该漏洞可能使未经身份验证的远程攻击者更改任何用户(包括属于管理用户的用户)的密码。 该漏洞被跟踪为 CVE-2024-2
继续阅读【漏洞通告】Cisco Smart Software Manager On-Prem密码更改漏洞(CVE-2024-20419)
【漏洞通告】Cisco Smart Software Manager On-Prem密码更改漏洞(CVE-2024-20419) 启明星辰安全简讯 2024-07-18 19:10 一、漏洞概述 漏洞名称 Cisco Smart Software Manager On-Prem密码更改漏洞 CVE ID CVE-2024-20419 漏洞类型 密码更改 发现时间 2024-07-18 漏洞评
继续阅读【复现】JumpServer 后台文件写入漏洞(CVE-2024-40629)的风险通告
【复现】JumpServer 后台文件写入漏洞(CVE-2024-40629)的风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-07-18 19:03 赛博昆仑漏洞安全通告- JumpServer 后台文件写入漏洞(CVE-2024-40629)的风险通告 漏洞描述 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer 帮助企
继续阅读专题·漏洞治理 | 建设全流程漏洞闭环管理机制,筑牢关基安全屏障
专题·漏洞治理 | 建设全流程漏洞闭环管理机制,筑牢关基安全屏障 原创 张峰等 中国信息安全 2024-07-18 18:19 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 中国移动通信集团有限公司信息安全管理与运行中心 张峰 赵红 徐一 苏占霞 当前,网络空间面临的威胁日益严峻,有组织、有目的的网络攻击事件频发,对国家安全以及数字经济稳定构成了重大挑
继续阅读演讲议题巡展 | A Post Exploitation Toolkit for High Value Systems
演讲议题巡展 | A Post Exploitation Toolkit for High Value Systems KCon 黑客大会 2024-07-18 17:27 经过精心筹备与多方努力 KCon 2024 黑客大会敲定举办时间 将于8月24日-25日举办 本次大会涵盖了网安领域的不同热点话题 为了展示演讲议题风采 让大家了解更多大会情况 特此开展议题巡展 欢迎围观~ 演讲者: Skay
继续阅读对漏洞治理体系革新发展的思考与建议
对漏洞治理体系革新发展的思考与建议 关键基础设施安全应急响应中心 2024-07-18 15:08 网络空间作为 21 世纪国家主权的新疆域,其战略意义与日俱增。漏洞治理是构筑网络安全基石的关键环节,它不仅承载着捍卫国家网络主权的重任,也是维护数字领土完整与安全的核心策略。漏洞治理涉及技术、管理、政策及法律等多个层面,不仅需要技术手段来发现和修复漏洞,还需要完善的管理体系、明确的政策指导和严格的法
继续阅读抖音漏洞奖金提升至20万元/个!
抖音漏洞奖金提升至20万元/个! 字节跳动安全中心 2024-07-18 14:28 ByteSRC自2018年成立以来,不断提升各个产品的漏洞奖金,并设立成长升级体系,给予白帽师傅们丰厚的物质回报和荣誉激励。 其中,抖音作为拥有数亿用户的平台,一直将安全建设视为重中之重,始终把用户信息和隐私安全放在首位。在守护数亿用户的道路上,我们十分认可白帽师傅们的积极贡献, 步履不停,漏洞奖金持续攀升! 🟢
继续阅读【漏洞预警】Apache Airflow 远程代码执行漏洞CVE-2024-39877
【漏洞预警】Apache Airflow 远程代码执行漏洞CVE-2024-39877 cexlife 飓风网络安全 2024-07-17 23:08 漏洞描述:Apache Airflow是一个开源的工作流自动化平台,它允许用户定义、调度和监视工作流任务的执行,受影响版本的Airflow会将DAG属性中的doc_md 参数进行Jinja2模板渲染,攻击者可控制doc_md参数进而执行任意代码,修
继续阅读网传nacos_rce漏洞poc(7月15日更新)
网传nacos_rce漏洞poc(7月15日更新) FFR66 Web安全工具库 2024-07-17 22:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。个人微信
继续阅读第四课-系统学习代码审计:命令执行漏洞讲解
第四课-系统学习代码审计:命令执行漏洞讲解 开发小鸡娃 安全随心录 2024-07-17 21:27 命令注入 命令执行漏洞是有些代码中需要调用到系统命令,当系统命令代码未对用户可控参数做过滤,则当用户能控制相和谐函数的参数的时候就可以把恶意命令把拼接正常命令中造成命令执行攻击。在Java中,命令执行漏洞主要包含两个主要方法,ProcessBuilder.start()、Runtime.getRu
继续阅读Nacos Derby Sql注入RCE(常规出网)
Nacos Derby Sql注入RCE(常规出网) 原创 SXdysq 南街老友 2024-07-17 20:47 漏洞描述 Nacos derby存在远程代码执行漏洞,由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,从而远程加载恶意构造的jar包,最终导致任意代码执行。 影响版本 nacos 2.3.2 nacos 2.
继续阅读Oracle exp 导出表时表名长度限制
Oracle exp 导出表时表名长度限制 原创 hyang0 生有可恋 2024-07-17 20:03 在使用 exp 批量导出表时,遇到一个报错: $ export NLS_LANG=AMERICAN_AMERICA.UTF8 $ exp –/– file=exp.dmp tables=\(门诊处方表,医院项目医保目录映射表,病案首页表,挂号表\) . . exporting table
继续阅读【IoT安全】BMC 固件中的漏洞影响 IoT 设备安全-第 1 部分
【IoT安全】BMC 固件中的漏洞影响 IoT 设备安全-第 1 部分 原创 Nozomi 车联网攻防日记 2024-07-17 19:17 在过去的一年里,Nozomi Networks 实验室对基板管理控制器(BMCs)的安全性进行了研究,特别关注工业物 联网(OT)和物联网(IoT)设备。在这个博客系列的第一部分中,我们揭示了影响基于美国 Megatrends(AMI)MegaRAC SP-
继续阅读FreeBuf「漏洞分析」主题征稿活动即日上线
FreeBuf「漏洞分析」主题征稿活动即日上线 FreeBuf 2024-07-17 18:55 根据Cloudflare发布的2024年应用安全报告,攻击者正越发快速地利用被公开的漏洞,甚至仅在公开后22分钟 就将可用的概念验证(PoC)漏洞武器化。 2024年7月,OpenSSH 远程代码执行漏洞(CVE-2024-6387)首个PoC在网上公布。该影响基于glibc的Linux系统,有可能引
继续阅读Next.js框架存在SSRF漏洞CVE-2024-34351
Next.js框架存在SSRF漏洞CVE-2024-34351 小白菜安全 小白菜安全 2024-07-17 18:38 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范
继续阅读攻击者最快在PoC发布22分钟后实施漏洞利用
攻击者最快在PoC发布22分钟后实施漏洞利用 Bill Toulas 代码卫士 2024-07-17 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者在实际攻击中利用已有 PoC exp的速度很快,有时在 exp 公开发布22分钟后就实施利用。 这是Cloudflare 公司在《2024年应用安全》报告中提到的。该报告覆盖的时间范围为2023年5月至2024年3月,提出
继续阅读大咖来了|江苏智能网联汽车创新中心:车载操作系统网络安全漏洞验证实践分享
大咖来了|江苏智能网联汽车创新中心:车载操作系统网络安全漏洞验证实践分享 谈思实验室 2024-07-17 17:53 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 AutoSec 2024 第八届中国汽车网络安全周 9月3日-4日 9月3日-4日,「AutoSec 2024第八届中国汽车网络安全周暨第五届智能汽车数据安全展」由谈思实验室和谈思汽车主办、上海市车联网协会联合主办,连续8年与大
继续阅读Nacos 1Day RCE不出网利用方式
Nacos 1Day RCE不出网利用方式 原创 Garck3h pentest 2024-07-17 17:20 前言 7.15各个群里以及公众号都在传github上有网友公布了最新的nacos远程代码执行漏洞及exp。以及陆陆续续有大佬们复现了该漏洞。昨晚有师傅问我,不出网的方式怎么利用,我们今天来探讨一下不出网的方式。Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台
继续阅读最严重的39个硬件安全漏洞
最严重的39个硬件安全漏洞 安信安全 安信安全 2024-07-17 17:00 2018年1月曝光的两个处理器高危漏洞——Meltdown和Spectre震惊了整个计算机行业。攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。 这些漏洞源于现代CPU的一种称为“ 推测执行 ”的性能特性,而缓解这些漏洞需要历史上最大规模的补丁协调工作,涉
继续阅读Oracle 2024年7月补丁日多产品高危漏洞安全风险通告
Oracle 2024年7月补丁日多产品高危漏洞安全风险通告 奇安信 CERT 2024-07-17 09:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2024年7月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2024-07-17 影响对象数量级 百万级 奇安信评级 高危 利用可能性
继续阅读Veeam备份软件漏洞引发全球勒索软件攻击浪潮
Veeam备份软件漏洞引发全球勒索软件攻击浪潮 信息安全大事件 2024-07-16 22:51 漏洞 CVE-2023-275327(CVSS 评分为 7.5)会影响 Veeam Backup & Replication 组件。攻击者可利用此问题获取存储在配置数据库中的加密凭据,从而可能导致访问备份基础结构主机。 该漏洞已于 2023 年 3 月得到解决,不久后,该问题的PoC 漏洞利用
继续阅读