【公益译文】设计安全警报:消灭软件中的SQL注入漏洞
【公益译文】设计安全警报:消灭软件中的SQL注入漏洞 绿盟君 绿盟科技 2024-05-29 17:12 全文共2308字,阅读大约需4分钟。 一 恶意网络攻击者利用SQL注入漏洞破坏系统 SQL注入(即SQLi)漏洞是存在于商业软件产品中的持久型漏洞。在过去的二十年里,人们对SQLi漏洞有着广泛的了解和记录,也存在有效的缓解措施,但软件厂商仍不断开发可能出现该漏洞的产品,使许多客户面临风险。 几
继续阅读标签: 代码
您还在苦恼先修哪个漏洞吗?
您还在苦恼先修哪个漏洞吗? 绿盟君 绿盟科技 2024-05-29 17:12 全文共2487字,阅读大约需5分钟。 在当今数字时代,网络攻击不断演变,漏洞修复已成为企业安全的重中之重。然而,随着漏洞数量的激增,如何有效处理和优先修复漏洞成为了一个挑战。根据绿盟科技发布的《2023年度安全事件观察报告》显示,全球共披露了30947个漏洞,每天平均有84.78个CVE被披露,创下历史新高。更令人担忧
继续阅读万户ezEIP企业管理系统success.aspx接口存在远程命令执行漏洞 附POC
万户ezEIP企业管理系统success.aspx接口存在远程命令执行漏洞 附POC 南风徐来 南风漏洞复现文库 2024-05-29 16:49 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 万户ezEIP企业管理系统简介 微信公众
继续阅读【安全科普】一文读懂文件上传漏洞(附实战详解)
【安全科普】一文读懂文件上传漏洞(附实战详解) 学习网络安全到 开源聚合网络空间安全研究院 2024-05-29 16:48 网 安 教 育 培 养 网 络 安 全 人 才 技 术 交 流 、 学 习 咨 询 前言 自从学完文件上传后,寻思总结一下,但一直懒惰向后推迟,最近要准备面试了,就趁此机会写一下。 文件上传漏洞介绍 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行
继续阅读【漏洞通告】Showdoc远程代码执行漏洞
【漏洞通告】Showdoc远程代码执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2024-05-29 16:07 漏洞名称: Showdoc远程代码执行漏洞 组件名称: Showdoc 影响范围: Showdoc < 3.2.5 漏洞类型: 代码注入 利用条件: 1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 综合评价: <综合评定利用难度>:容易
继续阅读「漏洞复现」用友NC linkVoucher SQL注入漏洞
「漏洞复现」用友NC linkVoucher SQL注入漏洞 冷漠安全 冷漠安全 2024-05-28 22:10 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读Shiro漏洞利用工具 — ShiroEXP(5月27日更新)
Shiro漏洞利用工具 — ShiroEXP(5月27日更新) Y5neKO Web安全工具库 2024-05-28 22:06 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如
继续阅读零知识证明的先进形式化验证:两个ZK漏洞的深度剖析
零知识证明的先进形式化验证:两个ZK漏洞的深度剖析 原创 CertiK CertiK 2024-05-28 22:00 在之前的文章中,我们讨论了零知识证明的先进形式化验证:如何验证一条ZK指令 。通过形式化验证每条zkWasm指令,我们能够完全验证整个zkWasm电路的技术安全性和正确性。在本文中,我们将关注 发现漏洞的视角 ,分析在审计和验证过程中发现的具体漏洞,以及从中得到的经验和教训 。如
继续阅读CVE-2024-3552 WordPress-Web Directory Free SQL注入漏洞复现
CVE-2024-3552 WordPress-Web Directory Free SQL注入漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-05-28 19:02 漏洞描述 Web Directory Free是WordPress上建立在线目录网站的插件,使用该插件可以非常容易地将任何现有站点转换为功能齐全的目录业务网站。web-directory-free插件存在未
继续阅读【风险通告】ShowDoc存在远程代码执行漏洞
【风险通告】ShowDoc存在远程代码执行漏洞 安恒研究院 安恒信息CERT 2024-05-28 18:30 漏洞概述 漏洞名称 ShowDoc存在远程代码执行漏洞 安恒CERT评级 1级 CVSS3.1评分 10.0(安恒自评) CVE编号 未分配 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 WM-202405-000003 POC情况 未发现 EXP情况 未发现 在野利用
继续阅读大华智慧园区综合管理平台 /ipms/barpay/pay RCE漏洞
大华智慧园区综合管理平台 /ipms/barpay/pay RCE漏洞 小白菜安全 小白菜安全 2024-05-28 18:26 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏
继续阅读某Android网址封装系统存在SQL注入漏洞
某Android网址封装系统存在SQL注入漏洞 原创 Swimt 星悦安全 2024-05-28 18:20 漏洞简介 Android网址封装系统可以将网址打包封装成APK(暂不支持打包成IOS 应用),类似于变色龙打包APP,不过现在网上打包APP的都开始收费(100软妹币/年)和实名了 源码带安装教程和常见问题的解决方案,这只是一个demo. 资产详情 fofa:body="暂未提供
继续阅读OA-EXPTOOL漏洞综合利用框架
OA-EXPTOOL漏洞综合利用框架 LittleBear4 七芒星实验室 2024-05-28 18:11 项目介绍 OA-EXPTOOL是一款 OA综合利用工具,集合将近20款OA漏洞批量扫描**** 使用方式 – 第一次使用脚本请运行pip3 install -r requirements.txt 面板是所有参数了致远就输入 zyscan tab键有补全命令的功能 进入后help
继续阅读VCTF apple 复现(apple的通用模板)
VCTF apple 复现(apple的通用模板) ElegyYuan0x1 看雪学苑 2024-05-28 17:59 本文参考的是Arahat0师傅(https://passport.kanxue.com/user-center-964693.htm)的脚本,这里主要介绍一下vctf apple的house of apple部分的思路。与常规的house of apple不同,这里将_wide
继续阅读研究员披露WinRAR中的ANSI转义序列注入漏洞
研究员披露WinRAR中的ANSI转义序列注入漏洞 看雪学苑 看雪学苑 2024-05-28 17:59 近日,安全研究员Siddharth Dushantha发现WinRAR这款流行文件压缩软件中存在ANSI转义序列注入漏洞,可能被利用来欺骗用户或是导致系统崩溃。 该漏洞(Linux、Unix系统:CVE-2024-33899;Windows系统:CVE-2024-36052)影响早于WinRA
继续阅读Rapid7:0day攻击和供应链攻陷剧增,MFA利用率仍较低
Rapid7:0day攻击和供应链攻陷剧增,MFA利用率仍较低 Kevin Townsend 代码卫士 2024-05-28 17:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Rapid7 公司发布报告称,0day 攻击持续升级,供应链大规模攻陷事件也在不断增多;我们当前仍然未能正确使用多因素认证 (MFA) 机制,目前尚未看到改进迹象。 Rapid7 公司发布《2024攻击情报报
继续阅读TP-Link 修复热门C5400X 游戏路由器中的严重RCE漏洞
TP-Link 修复热门C5400X 游戏路由器中的严重RCE漏洞 BILL TOULAS 代码卫士 2024-05-28 17:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 TP-Link Archer C5400X 游戏路由器易受多个漏洞影响,可导致未认证的远程攻击者在设备上执行命令。 TP-Link Archer C5400X是一款高端的三频带游戏路由器,旨在为游戏和其它需求较
继续阅读用户面临远程代码攻击!TP-Link 游戏路由发现高危漏洞
用户面临远程代码攻击!TP-Link 游戏路由发现高危漏洞 安全客 安全客 2024-05-28 17:27 TP-Link Archer C5400X 游戏路由器 被披露存在一个最高严重性安全漏洞 ,该漏洞可能通过发送特制的请求导致易受攻击的设备执行远程代码。 该漏洞被标记为 CVE-2024-5035 ,CVSS 评分为 10.0。它会影响路由器固件的所有版本,包括 1_1.1.6 及之前版本
继续阅读上周关注度较高的产品安全漏洞(20240520-20240526)
上周关注度较高的产品安全漏洞(20240520-20240526) 国家互联网应急中心CNCERT 2024-05-28 16:20 一、境外厂商产品漏洞 1、IBM Cognos Controller信息泄露漏洞(CNVD-2024-23286) IBM Cognos Controller是美国国际商业机器(IBM)公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理
继续阅读漏洞通告 | Showdoc 远程代码执行漏洞
漏洞通告 | Showdoc 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-05-28 16:00 漏洞概况 ShowDoc是一个功能强大、易于使用、免费开源的文档管理系统。通过ShowDoc,可以方便地使用Markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线Excel文档。 近日,微步漏洞团队获取到Showdoc 远程代码执行漏洞情报(https://
继续阅读商用间谍软件pcTattletale惊现漏洞和后门!17TB敏感数据遭泄露!
商用间谍软件pcTattletale惊现漏洞和后门!17TB敏感数据遭泄露! 网络安全应急技术国家工程中心 2024-05-28 14:52 一位独立研究人员曝光了商业级pcTattletale间谍软件工具中可能危及录音的漏洞后不久,该工具的网站就被黑客入侵并遭到破坏。该黑客声称已访问了至少17TB的受害者截图和其他敏感数据,在研究人员披露有限信息以防止不良行为者利用该漏洞后,他将该网站的黑客攻击
继续阅读SRC实战:指纹识别->代码执行
SRC实战:指纹识别->代码执行 迪哥讲事 2024-05-27 21:00 一.发现目标 今天不小心渗透测试其它目标时点进了北京外国语大学的一个oa登陆界面 看着有点眼熟,于是去识别了一下指纹 蓝凌OA,老熟人,于是我们用一下历史漏洞打一下这个站 二.漏洞验证 验证漏洞是否可以利用,可以访问该接口 页面如下 成功访问 有戏,那我们接着利用一下 三.漏洞利用 构造上传文件,guyue.jsp
继续阅读G.O.S.S.I.P 阅读推荐 2024-05-27 智能合约漏洞检测到底行不行?
G.O.S.S.I.P 阅读推荐 2024-05-27 智能合约漏洞检测到底行不行? 原创 G.O.S.S.I.P 安全研究GoSSIP 2024-05-27 20:09 今天要为大家介绍的是IEEE S&P 2024的论文Large-Scale Study of Vulnerability Scanners for Ethereum Smart Contracts,一看就知道是一项 讨
继续阅读『漏洞复现』用友GRP-U8 sqcxIndex.jsp SQL注入漏洞(XVE-2024-12560)
『漏洞复现』用友GRP-U8 sqcxIndex.jsp SQL注入漏洞(XVE-2024-12560) 冷漠安全 冷漠安全 2024-05-27 19:12 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学
继续阅读CVE-2024-32002 Git远程代码执行漏洞分析
CVE-2024-32002 Git远程代码执行漏洞分析 原创 深潜sec安全团队 深潜sec安全团队 2024-05-27 18:48 前言 5 月18号的时候,国外安全研究员Amal Murali(@amalmurali47)放了一张截图,这引起了我的注意: 他对git RCE:CVE-2024-32002进行了分析,截图中git的日志输出打了码,让我没办法通过他的演示获取到更多的信息。最开始
继续阅读漏洞复现 | Atlassian Confluence远程代码执行漏洞【附poc】
漏洞复现 | Atlassian Confluence远程代码执行漏洞【附poc】 原创 实战安全研究 实战安全研究 2024-05-27 18:44 免责声明 本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动 ,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失, 均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号 无关 ,本次测试仅供学习
继续阅读Replicate AI 平台存在严重漏洞,可被用于暴露专有数据
Replicate AI 平台存在严重漏洞,可被用于暴露专有数据 代码卫士 2024-05-27 17:24 聚焦源代码安全,网罗国内外最新资讯! 作者: Elizabeth Montalbano 编译:代码卫士 Replicate AI 平台中存在一个严重漏洞,可导致攻击者在平台内执行恶意 AI 模型,实施多租户攻击,从而访问客户的非公开AI模型并可能暴露专有知识或敏感数据。 Wiz 公司的安全
继续阅读黑客利用 VMware ESXi 漏洞进行勒索软件攻击
黑客利用 VMware ESXi 漏洞进行勒索软件攻击 关键基础设施安全应急响应中心 2024-05-27 15:34 针对 VMware ESXi 基础架构的勒索软件攻击无论部署何种文件加密恶意软件,都遵循一种既定模式。 网络安全公司Sygnia在与《黑客新闻》共享的一份报告中提到:虚拟化平台是组织IT基础设施的核心组成部分,但它们往往存在固有的错误配置和漏洞,这使它们成为威胁行为者有利可图和高
继续阅读RuoYi 4.7.8 RCE漏洞
RuoYi 4.7.8 RCE漏洞 joyboy fly的渗透学习笔记 2024-05-26 22:58 一、免责声明: 本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除整改并向您致以歉意。谢谢! 二、产
继续阅读『漏洞复现』智慧校园(安校易)管理系统 FileUpProductupdate.aspx 任意文件上传漏洞
『漏洞复现』智慧校园(安校易)管理系统 FileUpProductupdate.aspx 任意文件上传漏洞 冷漠安全 冷漠安全 2024-05-26 22:31 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供
继续阅读