通过分析JavaScript文件寻找漏洞
通过分析JavaScript文件寻找漏洞 Anastasis 迪哥讲事 2023-11-20 22:23 JavaScript在web中起着至关重要的作用,JavaScript文件是web应用程序 的重要组成部分。以下是为什么JavaScript文件在web中很重要的一些重要原因。 交互性:JavaScript使开发人员能够为网页添加交互性和响应性,使其更具吸引力和用户友好性。 动态内容:Java
继续阅读标签: 信息泄露
CVE-2023-4357:Google Chrome 信息泄露漏洞通告
CVE-2023-4357:Google Chrome 信息泄露漏洞通告 原创 360CERT 三六零CERT 2023-11-20 18:19 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-535 报告来源:360CERT 报告作者:360CERT 更新日期:2023-11-20 1 漏洞简述 2023年11月20日,360CERT监测发现漏洞编号为CVE-2023-4357的
继续阅读人工智能/机器学习工具中存在十几个可利用漏洞
人工智能/机器学习工具中存在十几个可利用漏洞 Ionut Arghire 代码卫士 2023-11-20 17:29 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 自2023年8月起,人工智能 (AI) 和机器学习 (ML) 漏洞奖励平台 Huntr 发现了十几个漏洞,可导致AI/ML模型易受系统接管和敏感信息被盗攻击。 Huntr 的管理平台 Protect AI指出,这些漏洞存
继续阅读还是狠炸裂的!Chromium libxslt XXE漏洞(CVE-2023-435)
还是狠炸裂的!Chromium libxslt XXE漏洞(CVE-2023-435) 长亭应急响应 黑伞安全 2023-11-19 18:40 修订:编号为CVE-2023-4357。Chromium 是一个开源的网络浏览器项目,由 Google 主导开发。Chromium 常被用作其他浏览器项目的基础,例如Chrome、 Opera、Brave 和 Microsoft Edge。2023年6月
继续阅读【已复现】金蝶云星空ScpSupRegHandler任意文件上传漏洞
【已复现】金蝶云星空ScpSupRegHandler任意文件上传漏洞 长亭应急响应 黑伞安全 2023-11-19 18:40 长亭安全应急响应中心 2023-11-16 20:52 发表于 北京 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。2023年11月,互联网上披露金蝶云星空任意文件上传漏洞详情,攻击者可利用该漏洞上传任
继续阅读【已复现】Google Chrome 信息泄露漏洞(CVE-2023-4357)安全风险通告
【已复现】Google Chrome 信息泄露漏洞(CVE-2023-4357)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-11-17 18:47 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome 信息泄露漏洞 漏洞编号 QVD-2023-18926,CVE-2023-4357 公开时间 2023-08-16 影响对象数量级 亿级
继续阅读2023 SDC 议题回顾 | 深入 Android 可信应用漏洞挖掘
2023 SDC 议题回顾 | 深入 Android 可信应用漏洞挖掘 原创 2023 SDC 看雪学苑 2023-11-17 18:02 在过去的几年中,可信执行环境(TEE,Trusted Execution Environment)在Android生态系统(智能手机、智能汽车、智能电视等)中实现了普及。TEE 运行独立、隔离的 TrustZone 操作系统,与 Android 并行,保证在A
继续阅读还是Citrix Bleed漏洞!又一家金融服务公司遭勒索
还是Citrix Bleed漏洞!又一家金融服务公司遭勒索 关键基础设施安全应急响应中心 2023-11-17 15:23 日本汽车制造商的汽车融资和租赁子公司丰田金融服务公司(TFS)最近遭受破坏性网络攻击。Medusa(美杜莎)勒索软件团伙刚刚承认对此负责。本周早些时候,TFS Europe&Africa表示,该公司“发现了系统上未经授权的活动”,这迫使该公司关闭了一些系统。TFS表示
继续阅读微软2023年11月补丁日重点漏洞安全预警
微软2023年11月补丁日重点漏洞安全预警 原创 安全技术研究院 山石网科安全技术研究院 2023-11-17 14:20 补丁概述 2023年11月14日,微软官方发布了11月安全更新,针对63个 Microsoft CVE 和15个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含3个严重漏洞(Critical)、56个重要漏洞(Important)和4个 中
继续阅读助攻黑客的严重漏洞?不符合GOOGLE的威胁模型,不予解决!
助攻黑客的严重漏洞?不符合GOOGLE的威胁模型,不予解决! 网络安全应急技术国家工程中心 2023-11-16 15:17 Bitdefender研究人员11月15日撰文,揭露了Google Workspace中的新漏洞,这个漏洞可能导致勒索软件攻击、数据泄露和口令解密。研究人员表示,这些方法还可以用于通过自定义权限访问谷歌云平台(GCP),并且可以在机器之间横向移动。然而,Bitdefende
继续阅读“奇怪的”高危Reptar CPU 漏洞影响 Intel 桌面和服务器系统
“奇怪的”高危Reptar CPU 漏洞影响 Intel 桌面和服务器系统 Sergiu Gatlan 代码卫士 2023-11-15 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Intel(英特尔)修复了位于现代桌面、服务器、手机和嵌入式CPU(包括最新的 Alder Lake、Raptor Lake 和 Sapphire Rapids 微架构)中的一个高危CPU
继续阅读微软11月补丁星期二需要关注的漏洞
微软11月补丁星期二需要关注的漏洞 Dustin Childs 代码卫士 2023-11-15 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 11月,微软共修复了63个漏洞,其中3个为“严重”、56个为“重要”、4个为“中危”级别。在这些漏洞中,3个被指已遭活跃利用,3个被指“公开已知”。 01 已遭利用的漏洞 CVE-2023-36033是位于 Windows DWM
继续阅读2023-11微软漏洞通告
2023-11微软漏洞通告 火绒安全 火绒安全 2023-11-15 16:53 微软官方发布了2023年11月的安全更新。本月更新公布了83个漏洞,包含18个远程执行代码漏洞、18个特权提升漏洞、11个身份假冒漏洞、6个信息泄露漏洞、6个安全功能绕过漏洞、5个拒绝服务漏洞,其中3个漏洞级别为“Critical”(高危),57个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/
继续阅读【安全更新】微软11月安全更新多个产品高危漏洞通告
【安全更新】微软11月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2023-11-15 14:40 通告编号:NS-2023-0044 2023-11-15 TAG: 安全更新、Windows SmartScreen、Microsoft Office、ASP.NET、Windows Cloud Files Mini Filter Driver、Windows DWM Co
继续阅读英特尔被诉故意销售漏洞处理器,企业不修漏洞和修复不力的界限在哪里?
英特尔被诉故意销售漏洞处理器,企业不修漏洞和修复不力的界限在哪里? 安全内参编译 安全内参 2023-11-15 12:03 关注我们 带你读懂网络安全 英特尔被控多年来故意销售了数十亿颗有缺陷芯片,诉讼结果或有助于明确定义漏洞修复不力与完全不作为的界限。 前情回顾·巨头光辉中的阴翳 – 苹果谷歌漏洞披露不完整,让腾讯QQ等数百万应用处于危险之中 TikTok未修漏洞节省数千万美元,一
继续阅读微软2023年11月补丁日多个产品安全漏洞风险通告
微软2023年11月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2023-11-15 10:14 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2023年11月补丁日多个产品安全漏洞 影响厂商&产品 Windows Server 2022、Microsoft Office、.NET 8.0 等 公开时间 2023-11-15 影响对象数量级 千万级 奇安信评
继续阅读本周更新:ioct fuzz原理分析 | 系统0day安全-Windows平台漏洞挖掘
本周更新:ioct fuzz原理分析 | 系统0day安全-Windows平台漏洞挖掘 看雪课程 看雪学苑 2023-11-14 17:59 本周更新: 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助
继续阅读2023 SDC 议题回顾 | 从探索到利用:揭示安卓模拟器漏洞
2023 SDC 议题回顾 | 从探索到利用:揭示安卓模拟器漏洞 原创 2023 SDC 看雪学苑 2023-11-14 17:59 本议题将介绍演讲者对多款流行安卓模拟器的安全研究,演讲者在其中中发现了数十个安全漏洞,这些漏洞可以导致虚拟机ROOT提权、信息泄露、DOS、虚拟机逃逸等攻击效果,议题将以这些实际的案例介绍对安卓模拟器进行动静态分析的技巧,然后介绍每款模拟器和 Guest 操作系统的
继续阅读上周关注度较高的产品安全漏洞(20231106-20231112)
上周关注度较高的产品安全漏洞(20231106-20231112) 国家互联网应急中心CNCERT 2023-11-14 15:59 一、境外厂商产品漏洞 1、 IBM Security Verify Governance命令执行漏洞 IBM Security Verify Governance是美国国际商业机器(IBM)公司的一个智能身份访问平台。为组织提供了一个平台来分析、定义和控制用户访问和
继续阅读2023年推出12个值得关注的漏洞悬赏项目
2023年推出12个值得关注的漏洞悬赏项目 小二郎 嘶吼专业版 2023-11-14 12:02 在过去的几年里,漏洞悬赏计划在普及和使用方面都有了显著的提升,越来越多的组织正在采用一些举措,以利用大量的研究人员资源来发现和检查在不法分子手中构成潜在威胁的漏洞。 他们的动机不仅是有机会通过安全和负责任地披露某些未知/不安全的漏洞来获得大额资金,而且还有机会获得认可,成为重大安全漏洞的发现者,并阻止
继续阅读【漏洞通告】IP-guard view.php 远程命令执行漏洞
【漏洞通告】IP-guard view.php 远程命令执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-11-10 17:17 漏洞名称: IP-guard view.php 远程命令执行漏洞 组件名称: IP-guard 影响范围: IP-guard<4.81.0307.0 漏洞类型: 远程代码执行 利用条件: 1、用户认证:无需认证 2、前置条件:默认配置 3、触发方式:远
继续阅读360独家揭秘:警惕Cerber新变种L0CK3D勒索软件借助漏洞多平台传播
360独家揭秘:警惕Cerber新变种L0CK3D勒索软件借助漏洞多平台传播 360数字安全 2023-11-09 18:33 近期,接到大量Linux系统用户反馈, 电脑中的文件被勒索软件加密 ,被加密后的文件后缀均为.L0CK3D。经分析,这些用户感染的均是隶属于Cerber家族的勒索软件。本轮攻击主要是通过Confluence 数据中心和服务器中的不当授权漏洞进行传播(漏洞编号为CVE-20
继续阅读ZDI研究人员披露四个Microsoft Exchange中的0day漏洞
ZDI研究人员披露四个Microsoft Exchange中的0day漏洞 看雪学苑 看雪学苑 2023-11-08 18:00 11月3日,趋势科技的ZDI研究人员披露了四个Microsoft Exchange中的零日漏洞,攻击者可以远程利用这些漏洞执行任意代码或泄露敏感信息。 ZDI于2023年9月7日、8日向微软报告了这些漏洞,但微软对此表示,ZDI披露的四个Exchange漏洞要么已经修复
继续阅读【顶刊论文分享】The Leaky Web:自动化识别浏览器和Web中跨站信息泄露漏洞
【顶刊论文分享】The Leaky Web:自动化识别浏览器和Web中跨站信息泄露漏洞 原创 创新研究院 绿盟科技研究通讯 2023-11-08 17:02 一. 概述 用户通常期望在浏览网络时保持隐私,不希望让网站知道他们之前访问了哪些站点或是否已登录其他网站。然而,被攻击者恶意控制的网站可能通过浏览器的一些方法来获取这些信息,而用户并不知情。这些网站可以在后台与其他网站进行互动,从而收集用户的
继续阅读今日更新-分析ioctl fuzz,syscall fuzz | 系统0day安全-Windows平台漏洞挖掘
今日更新-分析ioctl fuzz,syscall fuzz | 系统0day安全-Windows平台漏洞挖掘 看雪课程 看雪学苑 2023-11-07 17:59 今日更新 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技
继续阅读ZDI称微软 Exchange 出现4个新0day,可导致RCE和数据被盗
ZDI称微软 Exchange 出现4个新0day,可导致RCE和数据被盗 Bill Toulas 代码卫士 2023-11-06 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 微软 Exchange 中存在4个0day漏洞,可被攻击者远程利用执行任意代码或在受影响设备上泄露敏感信息。 这些0day 漏洞是由趋势科技的ZDI 团队披露的,后者在2023年9月7日和8日告
继续阅读常见 Web 应用越权漏洞分析与防范研究
常见 Web 应用越权漏洞分析与防范研究 关键基础设施安全应急响应中心 2023-11-02 14:53 摘要:Web 应用通常用于对外提供服务,由于具有开放性的特点,逐渐成为网络攻击的重要对象,而漏洞利用是实现 Web 攻击的主要技术途径。越权漏洞作为一种常见的高危安全漏洞,被开 放 Web 应 用 安 全 项 目(Open Web Application Security Project,OW
继续阅读新的CVSS 4.0漏洞严重程度评级标准发布
新的CVSS 4.0漏洞严重程度评级标准发布 安全客 2023-11-02 11:06 事件响应和安全团队论坛 (FIRST) 正式发布了 CVSS v4.0,这是其下一代通用漏洞评分系统标准,距上一个主要版本 CVSS v3.0 已经过去了八年。 CVSS 是一个用于评估软件安全漏洞严重性的标准化框架,用于根据可利用性、对机密性、完整性、可用性和所需权限的影响来分配数字分数或定性表示(例如低、中
继续阅读手把手玩转路由器漏洞挖掘系列 – SNMP协议分析
手把手玩转路由器漏洞挖掘系列 – SNMP协议分析 原创 nil 山石网科安全技术研究院 2023-11-01 18:17 1. 基本介绍 1.1 概要 SNMP协议(Simple Network Management Protocol,SNMP)原名叫做简单网关协议。该协议是基于简单网关监视协议指定的,是专门设计用于在IP网络管理网络节点的一种标准协议,是一种应用层协议。 主要作用帮
继续阅读白帽访谈 | 挖掘上万个高危漏洞的安全守护者
白帽访谈 | 挖掘上万个高危漏洞的安全守护者 SFSRC 看雪学苑 2023-11-01 18:05 序 有这样一位传奇选手, 截至目前,他是: “顺丰安全应急响应中心”2023年榜第一; “补天漏洞响应平台”战神榜总榜第二; “顺丰安全应急响应中心”2023.6月入驻以来连续4个月月榜第一; 带领安全团队API Team稳居“顺丰安全应急响应中心”团队总榜第一; “补天 漏洞响应平台”2022年
继续阅读