赏金猎人|兜兜转转拿下平台充值漏洞
赏金猎人|兜兜转转拿下平台充值漏洞 迪哥讲事 2024-01-28 22:50 0x01 前言 业务平台为网络虚拟商品,此次做被动信息收集,本着也是平台老用户的心态,做好事不留名,看看有无逻辑漏洞及手工测试漏洞,各位师傅们测白盒审代码撸洞永远是我追随的目标**** 此处说明关于公众号发布的应急响应平台公告如下 平台运营及开发正在紧急更新新功能 平台将正式公测:具体时间待定发出、很快 注册方式还是注
继续阅读标签: 代码
3月1日开班!系统0day安全-二进制漏洞攻防(第3期)
3月1日开班!系统0day安全-二进制漏洞攻防(第3期) 小雪 看雪学苑 2024-01-28 17:59 好消息!好消息! 系统0day安全-二进制漏洞攻防(第3期)火热开课啦! 想要深入了解二进制漏洞攻防的知识和实践经验吗?想要掌握模糊测试、AFL原**** 理、ASAN原理、网络协议漏洞挖掘、Linux内核漏洞挖掘、AOSP漏洞挖掘以及CodeQL代码审计等多个方面的技能吗? 预售期间享75
继续阅读CVS v1.1.3!万象通用漏洞扫描器
CVS v1.1.3!万象通用漏洞扫描器 黑白之道 2024-01-27 13:53 工具介绍 CVS与Nessus和Nuclei等许多产品一样,可用于扫描各种网络漏洞,但它更现代,具有免等待的OOB测试策略、高级漏洞PoC IDE和强大的VDSL (漏洞域特定语言)引擎,使您能够能够快速轻松地扫描几乎所有漏洞。 工具特点: 强大的 PoC 脚本语言 – VDSL(领域特定语言) 先进的仿真的 P
继续阅读基于模拟仿真的蓝牙协议栈漏洞挖掘
基于模拟仿真的蓝牙协议栈漏洞挖掘 GRCC IoVSecurity 2024-01-27 12:11 点击上方 蓝色字体,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 再看云虚拟化安全.QEMU通用漏洞挖掘新思路Android容器和虚拟化
继续阅读万户OA text2Html 任意文件读取【漏洞复现】
万户OA text2Html 任意文件读取【漏洞复现】 ChinaRan404 知攻善防实验室 2024-01-27 12:06 关注本公众号,长期推送技术文章 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!! 简介 万户OA text2H
继续阅读SRC实战 | 任意用户相关漏洞的多个姿势实战
SRC实战 | 任意用户相关漏洞的多个姿势实战 实战安全研究 2024-01-27 10:00 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。 文中所涉及的技术
继续阅读苹果、VMware、Apache等科技巨头漏洞被大量应用
苹果、VMware、Apache等科技巨头漏洞被大量应用 疯狂冰淇淋 FreeBuf 2024-01-27 09:30 左右滑动查看更多 Therecord网站披露,黑客因频繁利用多个新发现的漏洞发起攻击吸引了美国网络安全专家们的高度关注,专家们担心这些漏洞可能会被网络犯罪组织和其他各国政府用于不法目的。 过去一周,美国网络安全专家和网络安全与基础设施安全局(CISA)等政府机构已经关注到了影响苹
继续阅读afrog!快速稳定的漏洞扫描器
afrog!快速稳定的漏洞扫描器 白帽学子 2024-01-27 08:11 工具介绍 afrog 是一款快速、稳定的高性能漏洞扫描器。 支持用户自定义PoC,内置CVE、CNVD、默认密码、信息泄露、指纹识别、越权访问、任意文件读取、命令执行等多种类型。 通过afrog,网络安全专业人员可以快速验证和修复漏洞,这有助于增强他们的安全防御能力。 工具使用 默认情况下,afrog 会扫描所有内置 P
继续阅读【漏洞复现】CVE-2024-23897 Jenkins 任意文件读取漏洞
【漏洞复现】CVE-2024-23897 Jenkins 任意文件读取漏洞 原创 4Zen 划水但不摆烂 2024-01-27 08:00 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 产品简介 Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重
继续阅读漏洞预警 | Jenkins任意文件读取漏洞
漏洞预警 | Jenkins任意文件读取漏洞 浅安 浅安安全 2024-01-27 08:00 0x00 漏洞编号 – # CVE-2024-23897 0x01 危险等级 – 高危 0x02 漏洞概述 Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。 0x03 漏洞详
继续阅读漏洞预警 | 万户ezOFFICE任意文件读取漏洞
漏洞预警 | 万户ezOFFICE任意文件读取漏洞 原创 浅安 浅安安全 2024-01-27 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 万户ezOFFICE协同管理平台是一个综合信息基础应用平台分为企业版和政务版。解决方案由五大应用、两个支撑平台组成,分别为知识管理、工作流程、沟通交流、辅助办公、集成解决方案及应用支撑
继续阅读HVV 溯源实例-从OA到某信源RCE全0day渗透
HVV 溯源实例-从OA到某信源RCE全0day渗透 Alivin 黑客白帽子 2024-01-27 08:00 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 来源于奇安信社区(Alivin ) 原文链接: https://forum.butian.net/share/1765 2021年国Hvv真实溯源过程,在
继续阅读思科提醒注意通信软件中的严重 RCE 漏洞
思科提醒注意通信软件中的严重 RCE 漏洞 Bill Toulas 代码卫士 2024-01-26 18:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科提醒称,多款 Unified Communications Manager (CM) 和 Contact Center Solutions 产品易受严重的远程代码执行漏洞 (CVE-2024-20253) 影响。 思科 Unifi
继续阅读【原创0day】用友YonBIP ServiceDispatcher远程代码执行漏洞
【原创0day】用友YonBIP ServiceDispatcher远程代码执行漏洞 长亭应急响应 黑伞安全 2024-01-26 17:29 用友YonBIP是用友软件公司推出的一款企业智能化平台,旨在通过集成多种业务应用和服务,帮助企业实现数字化转型,提高运营效率和决策智能。2023年12月,长亭科技研究员发现用友YonBIP存在一个远程代码执行漏洞,并将其上报至监管。2024年1月,用友发布
继续阅读【已复现】Jenkins 任意文件读取漏洞(CVE-2024-23897)
【已复现】Jenkins 任意文件读取漏洞(CVE-2024-23897) 长亭应急响应 黑伞安全 2024-01-26 17:29 Jenkins是一个开源CI/CD工具,用于自动化开发流程,包括构建、测试和部署软件。 2024年1月,互联网公开了一个Jenkins的任意文件读取漏洞。鉴于该漏洞易于利用,存在危害扩大的风险,且该系统数据较为敏感且影响范围广泛,建议所有使用Jenkins的企业尽快
继续阅读【漏洞通告】用友YonBIP ServiceDispatcher远程代码执行漏洞
【漏洞通告】用友YonBIP ServiceDispatcher远程代码执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2024-01-26 16:20 漏洞名称: 用友YonBIP ServiceDispatcher远程代码执行漏洞 组件名称: 用友YonBIP 影响范围: YonBIP高级版2207(未安装对应补丁) 漏洞类型: 远程代码执行 利用条件: 1、用户认证:否 2、前置条件:默
继续阅读【已复现】Jenkins任意文件读取漏洞(CVE-2024-23897)安全风险通告
【已复现】Jenkins任意文件读取漏洞(CVE-2024-23897)安全风险通告 原创 QAX CERT 奇安信 CERT 2024-01-26 15:12 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Jenkins任意文件读取漏洞 漏洞编号 QVD-2024-3674,CVE-2024-23897 公开时间 2024-01-25 影响量级 十万级 奇安信评级 高危 C
继续阅读漏洞通告 | Jenkins CLI 任意文件读取漏洞
漏洞通告 | Jenkins CLI 任意文件读取漏洞 原创 微步情报局 微步在线研究响应中心 2024-01-26 14:30 01 漏洞概况**** Jenkins是一个开源的持续集成和持续交付工具,它提供了一个易于使用的界面,可以帮助用户自动化构建、测试和部署软件。微步漏洞团队近日监控到Jenkins任意文件读取漏洞(CVE-2024-23897)情报,攻击者可利用该漏洞通过Jenkins
继续阅读【风险通告】Jenkins CLI 任意文件读取漏洞(CVE-2024-23897)
【风险通告】Jenkins CLI 任意文件读取漏洞(CVE-2024-23897) 风险通告 阿里云应急响应 2024-01-26 09:48 2024年1月25日,Jenkins 官方披露 CVE-2024-23897 Jenkins CLI 任意文件读取漏洞。 0 1 漏 洞 描 述 Jenkins是基于Java开发的一种持续集成工具。 2024年1月25日,Jenkins 官方披露 CVE
继续阅读漏洞挖掘|一次某站点的任意用户密码更改漏洞
漏洞挖掘|一次某站点的任意用户密码更改漏洞 迪哥讲事 2024-01-25 23:46 前言叙述 现在的洞越来越难挖了,近些年的大佬们纷纷登场,安全防护也在不断提升,作为一个不”专业”的人,实在头疼不已,最近实在无力加上很多现实中事忙活,突然不知道咋挖了,只能水一次技术了 *本文涉及到相关漏洞已报送厂商并修复,本文仅限技术讨论和研究,严禁用于非法用途,否则产生后果自行承担*
继续阅读CVE-2024-0204:GoAnywhere MFT 身份认证绕过漏洞通告
CVE-2024-0204:GoAnywhere MFT 身份认证绕过漏洞通告 原创 360CERT 三六零CERT 2024-01-25 19:47 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-663 报告来源:360CERT 报告作者:360CERT 更新日期:2024-01-25 1 漏洞简述 2024年01月25日,360CERT监测发现Fortra发布了GoAnywh
继续阅读OPPO正式入驻YES WE HACK漏洞平台
OPPO正式入驻YES WE HACK漏洞平台 OPPO安全中心 2024-01-25 17:56 OPPO已正式入驻YesWeHack漏洞平台。 OPPO一直致力于打造安全可靠的产品及服务,秉持着“安全信赖,隐私⽆忧”的隐私保护主张,始终将⽤户的利益放在首位。 YesWeHack是欧洲最大的白帽黑客社区及漏洞奖励平台,旨在促进全球范围内安全团队与组织之间的合作。该平台为企业提供安全测试及漏洞报
继续阅读GoAnywhere MFT 身份认证绕过漏洞(CVE-2024-0204)安全风险通告
GoAnywhere MFT 身份认证绕过漏洞(CVE-2024-0204)安全风险通告 奇安信 CERT 2024-01-25 15:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GoAnywhere MFT 身份认证绕过漏洞 漏洞编号 QVD-2024-3401,CVE-2024-0204 公开时间 2024-01-22 影响量级 万级 奇安信评级 高危 CVSS
继续阅读CVE-2024-0713
CVE-2024-0713 原创 fgz AI与网安 2024-01-25 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 福利:小编整理了大量电子书和护网常用工具,在文末免费获取。 01 — 漏洞名称 Monitorr 服务配置 upload.php 无
继续阅读【漏洞预警】SOFARPC反序列化漏洞CVE-2024-23636
【漏洞预警】SOFARPC反序列化漏洞CVE-2024-23636 cexlife 飓风网络安全 2024-01-24 22:25 漏洞描述: SOFARPC是一个高性能、高扩展性、生产级的 Java RPC 框架,近日监测到SOFARPC中修复了一个反序列化漏洞(CVE-2024-23636),该漏洞的CVSSv3评分为9.8。由于SOFARPC 默认使用 SOFA Hessian 协议来反序列
继续阅读【漏洞预警】亿赛通电子文档安全管理系统 文件上传&命令执行漏洞
【漏洞预警】亿赛通电子文档安全管理系统 文件上传&命令执行漏洞 cexlife 飓风网络安全 2024-01-24 22:25 1.漏洞描述 亿赛通新一代电子文档安全管理系统(简称:CDG)是一款融合文档加密、数据分类分级、访问控制、关联分析、大数据分析、智能识别等核心技术的综合性数据智能安全产品。2024年1月,互联网披露其存在文件上传漏洞,攻击者可构造恶意请求结合目录遍历上传websh
继续阅读JAVA常用组件未授权漏洞解析
JAVA常用组件未授权漏洞解析 Notadmin Hacking黑白红 2024-01-24 20:03 文章目录 前言 Druid未授权漏洞 修复建议 SwaggerUI未授权漏洞 Spring boot Actuator未授权漏洞 漏洞发现 Spring Eureka未授权访问漏洞 漏洞利用方式 漏洞危害 修复方式 总结 前言 在java项目中,经常会使用一些监控类的组件来监控系统的状态,如果
继续阅读爆多个漏洞 | Pwn2Own Automotive 2024 第一天结果
爆多个漏洞 | Pwn2Own Automotive 2024 第一天结果 原创 zh1chu 安全脉脉 2024-01-24 19:41 欢迎来到首届 Pwn2Own Automotive 活动:截至 2024 年 1 月 24 日 发文前的最新结果如下。 成功 – Sina Kheirkhah 成功执行了对 ChargePoint Home Flex 的攻击,赢得了 60,000
继续阅读Monitorr 任意文件上传-CVE-2024-0713
Monitorr 任意文件上传-CVE-2024-0713 小白菜安全 小白菜安全 2024-01-24 18:57 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围
继续阅读奇安信应急响应报告:漏洞利用持续上升,主动威胁发现能力亟待加强
奇安信应急响应报告:漏洞利用持续上升,主动威胁发现能力亟待加强 奇安信集团 2024-01-24 18:40 1月23日,奇安信安服团队发布《95015网络安全应急响应分析报告(2023)》(简称《报告》)。2023年,95015服务平台共接到全国政企机构网络安全应急事件报告853起。奇安信安服团队第一时间协助政企机构处置安全事故,确保了政企机构门户网站、数据库和重要业务系统等的持续安全稳定运行。
继续阅读