大众汽车应用程序再曝安全漏洞,泄露车主敏感信息;410GB TeleMessage泄露数据被DDoSecrets收录 | 牛览 安全牛 2025-05-20 09:23 新闻速览 •Pwn2Own柏林2025黑客大赛谢幕: 利用28个零日漏洞赢走超百万美元奖金 •410GB TeleMessage泄露数据被DDoSecrets收录 •三款手机监控软件或因泄露数据集体下线 •超4万iOS应用滥用私有
继续阅读EDUSRC | 两个证书站小程序漏洞挖掘思路及方法 zkaq-满心欢喜 掌控安全EDU 2025-05-20 04:02 扫码领资料 获网安教程 本文由掌控安全学院 – 满心欢喜 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 一、信息收集思路及技巧 注:这一段信息收集思路及技巧是笔者借鉴我大湘安无事的大佬–沫颜
继续阅读CNVD-2023-04620 金和 OA XXE 漏洞分析复现 原创 private null 轩公子谈技术 2025-05-20 01:44 文章首发于 奇安信攻防社区 参与的众测项目,资产非常难挖掘漏洞,所以只能通过审计的方式,找找漏洞点 资产里相对用的多的 oa,都是用友,泛微,致远等大型 oa,对我这种小菜来说,直接上手有点难度,无意间发现了金和系统,就直接来审计学学,刚开始找网盘资料,
继续阅读英特尔CPU再曝高危漏洞,新型内存泄漏与Spectre v2攻击卷土重来 SOC 赛欧思安全研究实验室 2025-05-20 01:30 – 恶意软体 FrigidStealer 假借 Safari 更新做为诱饵,攻击 macOS 用户 安全专家发现,一只名为 FrigidStealer 的窃密程式冒充 Safari 更新散布,窃取 Mac 电脑用户密码、虚拟货币钱包凭证等敏感资料。
继续阅读IDOR_detect_tool【API越权漏洞检测工具】 原创 白帽学子 白帽学子 2025-05-20 00:11 在各类安全行动里,对各类漏洞的检测就变得特别关键,尤其是 API 水平越权漏洞,这类漏洞要是被利用了,攻击者就能越权访问一些敏感数据,后果很严重。 我最近发现了一款超实用的开源网络安全工具,正好能解决 API 水平越权漏洞检测的问题。它的检测逻辑特别细致,能把很多干扰因素都排除掉
继续阅读漏洞预警 | 飞企互联FE业务协作平台任意文件读取漏洞 浅安 浅安安全 2025-05-20 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 数夫CRM客户关系管理系统是专为家居、家具等制造业深度定制的全流程客户管理平台。 0x03 漏洞详情 漏洞类型: 文件读取 影响: 获取敏感信息**** 简述: 数夫CRM客户关系管理系
继续阅读推荐一个专为新手打造的漏洞挖掘实战圈 安全渗透感知 FreeBuf知识大陆APP 2025-05-19 11:30 面对挖洞时毫无头绪? 你不是一个人在战斗! 想学习漏洞挖掘,却苦于不知道从哪里开始? 看着师傅们一边提交漏洞一边领赏,你却连个POC都写不出来? 打开各类公开资料,零散又重复,学完感觉自己还是什么都不会? 尝试搭建靶场,环境一堆报错、漏洞复现卡壳,信心受挫? 这不是你的问题——而是缺
继续阅读上周关注度较高的产品安全漏洞(20250512-20250518) 原创 CNVD CNVD漏洞平台 2025-05-19 10:10 一、境外厂商产品漏洞 1、NVIDIA ConnectX权限问题漏洞 NVIDIA ConnectX是一系列智能网络接口卡。NVIDIA ConnectX存在权限问题漏洞,该漏洞源于权限问题处理不当,攻击者可利用该漏洞导致拒绝服务、数据篡改和信息泄露。 参考链接:
继续阅读安全热点周报:Fortinet 修复了 FortiVoice 攻击中利用的关键零日漏洞 奇安信 CERT 2025-05-19 09:58 安全资讯导视 • 国务院2025年预备制定网络安全等级保护条例 • 美国最大钢铁公司纽柯因网络攻击被迫停产 • 迪奥中国客户信息遭泄露,官方群发短信通知客户 PART01 漏洞情报 1.Google Chrome跨源数据泄露漏洞安全风险通告 5月15日,奇安
继续阅读【漏洞挖掘案例】从XSS到”RCE”的PC端利用链构建 The One安全 2025-05-19 08:36 前言 先铺垫一下。笔者有一个习惯,懒得记各种命令和payload,手工渗透测试时,遇到比较长的payload的情况下,不想一个一个地去手敲命令,于是我之前就在github上想寻找一个类似于记事本的软件,但是最好和我的记录命令的需求适配,于是就找到了一位师傅写的开源项
继续阅读新型 CPU 漏洞曝光!英特尔芯片陷内存泄露风险 原创 HackerNews 安全威胁纵横 2025-05-19 08:27 研究人员发现新型英特尔CPU漏洞, 影响所有英特尔处理器。 攻击者可利用分支预测机制绕过安全屏障,获取特权进程的机密信息,导致内存敏感数据泄露。 GitHub Action 中广泛使用的 tj-actions/changed-files 被攻破,导致使用 CI/CD 工
继续阅读雷神众测漏洞周报2025.5.12-2025.5.18 原创 雷神众测 雷神众测 2025-05-19 08:11 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意
继续阅读山东大学 | MiniCAT:了解和检测小程序中的跨页面请求伪造漏洞 原创 李智宇 安全学术圈 2025-05-19 04:31 原文标题:MiniCAT: Understanding and Detecting Cross-Page Request Forgery Vulnerabilities in Mini-Programs 原文作者:Zidong Zhang,Qinsheng Hou,Li
继续阅读全球政府邮件系统沦陷:黑客利用XSS漏洞发起大规模间谍活动 汇能云安全 2025-05-19 02:12 5月19日,星期一,您好!中科汇能与您分享信息安全快讯: 01 恶意NPM包利用Google日历作为C2中间人实施隐蔽攻击 Veracode威胁研究团队近日发现恶意NPM包”os-info-checker-es6″,巧妙利用Google日历平台作为命令与控制(C2)服务
继续阅读谷歌修复了可能导致账户完全被劫持的Chrome漏洞 鹏鹏同学 黑猫安全 2025-05-19 01:40 谷歌发布紧急安全更新修复可导致账户完全被劫持的Chrome漏洞(编号CVE-2025-4664)。该漏洞由安全研究员Vsevolod Kokorin(@slonser_)发现,源于Chrome 136.0.7103.113之前版本中Loader组件的策略执行缺陷。攻击者可通过特制HTML页面触
继续阅读英特尔新漏洞:Spectre 和 Meltdown 问题以新面貌重现 会杀毒的单反狗 军哥网络安全读报 2025-05-19 01:02 导读 苏黎世联邦理工学院和阿姆斯特丹自由大学的研究人员披露了英特尔处理器中导致内存泄漏和 Spectre v2 攻击的新漏洞。这些发现表明,尽管 Spectre 和 Meltdown 漏洞披露已有七年,但推测指令执行问题仍然构成重大威胁。 研究人员发现了三个关键
继续阅读漏洞预警 | 金和OA XXE漏洞 浅安 浅安安全 2025-05-19 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。 0x03 漏洞详情 漏洞类型: XXE 影响: 获
继续阅读重生HW之利用邮箱漏洞寻找突破口打穿目标内网 sec0nd安全 2025-05-18 15:15 扫码领资料 获网安教程 本文由掌控安全学院 – flysheep 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 小编寄语:来看看一线红队打HW的骚操作,tql佬!!!! 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果
继续阅读政府邮箱被利用XSS漏洞入侵;2024年微软披露漏洞增长11% 计算机与网络安全 2025-05-18 09:57 1 政府邮箱被利用XSS漏洞入侵 近日,安全研究人员披露,一个名为“RoundPress” 的全球网络间谍活动正在持续展开,攻击者通过 Webmail 服务中的数个XSS漏洞,对全球多国政府和关键机构发起邮件窃密攻击。该行动被认为与黑客组织 APT28(又称“Fancy Bear”或
继续阅读2025年漏洞统计报告附下载 原创 很近也很远 网络研究观 2025-05-18 09:27 我们的 2025 年报告比以往任何时候都更深入地探讨了安全专业人员关注的关键指标。我们探索了跨网络/设备和应用层的风险密度模式,发现了自动化工具经常遗漏的复杂漏洞,并评估了当今领先的漏洞评分方法(包括 EPSS、CISA KEV、CVSS 以及我们专有的 EVSS 系统)的实际有效性。 今年的调查结果显示
继续阅读工具集:Fiora【漏洞PoC框架图形版的Nuclei】 原创 白帽学子 白帽学子 2025-05-18 00:11 之前我用Nuclei这个工具的时候,就觉得它功能挺强大的,但用起来有时候还是不够方便,尤其是在找PoC和执行命令方面。不过后来我发现了一款基于Nuclei的图形版工具,它可帮了我大忙了。 这个工具能快捷搜索PoC,只要一键就能运行Nuclei。它既可以作为独立程序运行,也能当成bu
继续阅读新漏洞影响过去6年内所有英特尔处理器 原创 铸盾安全 河南等级保护测评 2025-05-17 16:00 英特尔处理器中新发现的一类漏洞称为分支预测器竞争条件 (BPRC),它允许攻击者系统地从共享同一硬件的其他用户的缓存和随机存取存储器 (RAM) 中提取敏感数据。 该漏洞影响了过去六年发布的所有英特尔处理器(包括消费设备和云服务器基础设施中的处理器),利用了旨在加速计算性能的推测执行技术。 苏
继续阅读一包包免费纸巾骗走老人们2亿元;|谷歌Chrome曝高危漏洞,可导致账户接管与MFA绕过 黑白之道 2025-05-17 09:42 一包包免费纸巾骗走老人们2亿元; 警方披露了一起“专挑老年人下手”的非法集资案件。湖南株洲的李先生偶然得知,有家体检中心可以免费做全面体检。体检后,业务员小王隔三差五就打电话请李先生参与免费讲座,每次都送些纸巾、鸡蛋等小礼品。 不久后,小王声称体检中心要扩大规模,以
继续阅读某校园解决方案提供商智慧校园通用漏洞挖掘 原创 zkaq – 满心欢喜 掌控安全EDU 2025-05-17 06:21 扫码领资料 获网安教程 本文由掌控安全学院 – 满心欢喜 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 小编寄语:手拿把恰~ 概述 在近期刷 edu 的 rank 积分过程中,我将精力主要集中在
继续阅读微软2025年5月份于周二补丁日针对78漏洞发布安全补丁 何威风 祺印说信安 2025-05-17 06:08 微软周二发布了修复程序,修复了其软件系列中总共78 个安全漏洞,其中包括五个已被广泛利用的零日漏洞。 这家科技巨头已解决的 78 个漏洞中,11 个被评为“严重”,66 个被评为“重要”,1 个被评为“低”。其中 28 个漏洞可导致远程代码执行,21 个漏洞为权限提升漏洞,另有 16 个
继续阅读国安部提醒警惕智能穿戴设备泄密,英特尔CPU曝漏洞|一周特辑 威努特安全网络 2025-05-16 23:59 国安部提醒: 警惕智能穿戴设备泄密风险 国家安全部近日发布安全提示 ,智能手表、手环等穿戴设备在提供健康监测、通信便利的同时,可能成为数据泄露的新隐患, 并呼吁公众警惕相关风险。 文章表示,智能设备内置的摄像头、麦克风和定位功能可采集用户生物特征、活动轨迹等敏感信息,一旦数据泄露,可能被
继续阅读【安全圈】新Spectre变种攻击曝光:英特尔CPU存在特权分支注入漏洞,内存数据或遭窃取 安全圈 2025-05-16 11:01 关键词 Intel 苏黎世联邦理工学院(ETH Zürich)的安全团队近日披露了英特尔处理器中的一个新型侧信道漏洞——分支特权注入(Branch Privilege Injection, BPI) 。该漏洞允许攻击者利用CPU的预测执行机制窃取内存中的敏感数据,这
继续阅读【安全圈】网络安全事件周报:勒索组织与国家级黑客同时盯上SAP漏洞 安全圈 2025-05-16 11:01 关键词 安全漏洞 本周全球网络安全态势依旧紧张,多个关键漏洞正被黑客组织大规模利用。其中,SAP NetWeaver系统的重大漏洞(CVE-2025-31324)不仅吸引了RansomEXX、BianLian等知名勒索软件团伙,还被与中国有关的黑客组织Chaya_004持续攻击。该漏洞允许
继续阅读2025微软漏洞报告:数量再创纪录,应对更复杂 Morey J. Haber 虎符智库 2025-05-16 10:08 本文 4165 字 阅读约需 12 分钟 《微软漏洞报告》(简称《报告》)一直是评估软件生态系统安全性的重要晴雨表。近年来,《报告》显示“身份”已成为攻击链的核心部分,现代的入侵行动常常要结合传统漏洞和基于凭证的攻击路径。 企业、政府机构和关键基础设施日常运营都会遇到微软
继续阅读英特尔CPU曝新漏洞:每秒偷走17KB数据!新型芯片漏洞有多可怕 看雪学苑 看雪学苑 2025-05-16 09:59 近日,来自瑞士苏黎世联邦理工学院(ETH Zürich)的研究团队曝出一个震撼业界的发现:所有现代英特尔处理器都存在一个名为”分支特权注入”(BPI)的新型漏洞。这就像给黑客们配了一把万能钥匙,能绕过层层防护,直接窃取电脑内存中的敏感数据。更令人不安的是,
继续阅读