900人选择的SRC漏洞挖掘课程,带你踏上漏洞挖掘之路,共同成长
900人选择的SRC漏洞挖掘课程,带你踏上漏洞挖掘之路,共同成长 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2025-05-16 09:03 有些人已收获回报,有些人刚刚上路,也许你就是下一个? 一年前的4月1日,我根本不会想到一年后我的学员会突破900人,时间回到一年前,我做了一件很多人都不太看得懂的事: 做一门 专注新手SRC 漏洞挖掘 的课程,面向 完全 0 基础 的新人。课程价格根
继续阅读标签: 信息泄露
多功能BurpSuite漏洞探测插件—TsojanScan
多功能BurpSuite漏洞探测插件—TsojanScan 黑伞安全 2025-05-16 09:00 TsojanScan 一个集成的BurpSuite漏洞探测插件 First 本着市面上各大漏洞探测插件的功能比较单一,因此与 TsojanSecTeam 成员决定在已有框架的基础上修改并增加常用的漏洞探测POC,它会以最少的数据包请求来准确检测各漏洞存在与否,你只需要这一个足矣。 Usage 1
继续阅读【高危漏洞预警】Fortinet多款产品缓冲区溢出漏洞(CVE-2025-32756)
【高危漏洞预警】Fortinet多款产品缓冲区溢出漏洞(CVE-2025-32756) cexlife 飓风网络安全 2025-05-16 08:15 漏洞描述: 该漏洞是由于对特制的HTTP请求中恶意哈希Cооkiе处理不当导致的堆栈缓冲区溢出,攻击者可以通过发送精心构造的HTTP请求来利用此漏洞,从而在受影响的系统上执行任意代码,从而造成服务器数据泄露甚至接管服务器权限等严重危害。 攻击场
继续阅读我在马路边,捡到两年前的RCE了
我在马路边,捡到两年前的RCE了 原创 private null 轩公子谈技术 2025-05-16 07:42 春日午后,我沿着杨柳大道悠闲溜达。暖融融的阳光穿过新抽嫩芽的柳枝,在柏油路上折射出细碎的金斑。道旁绿化带里,嫩绿的草叶间零星点缀着淡紫色野花,春风拂过,柳絮如雪般轻盈飘落。不经意间,一抹黑色闯入视野 —— 绿化带边缘的枯叶堆里,半支黑色 U 盘闪着金属冷光,在阳光下折射出奇异的反光,像
继续阅读Apache Roller高危漏洞CVE-2025-24859深度解析:会话劫持威胁企业安全
Apache Roller高危漏洞CVE-2025-24859深度解析:会话劫持威胁企业安全 原创 Z0安全 Z0安全 2025-05-16 07:26 一、漏洞概述 CVE-2025-24859 是Apache Roller中披露的高危会话管理漏洞,于2025年4月14日被官方通报。该漏洞允许攻击者在用户修改密码后,通过旧会话维持对系统的控制,直接威胁数据安全与服务器权限。 – •
继续阅读Webpack源码泄露漏洞批量探测
Webpack源码泄露漏洞批量探测 回忆潋红雨 神农Sec 2025-05-16 02:23 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 原文链接: https://xz.aliyun.com/news
继续阅读Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃
Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃 邑安科技 邑安全 2025-05-16 02:23 更多全球网络安全资讯尽在邑安全 Node.js团队近日发布重要安全公告,针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。 异步加密操作可能导致进程崩溃(CVE-2025-23166) 最严重的是一个被评定为
继续阅读发现网络攻击后立即关闭系统?错!| Bitpixie漏洞攻击路径曝光,5分钟即可绕过BitLocker加密
发现网络攻击后立即关闭系统?错!| Bitpixie漏洞攻击路径曝光,5分钟即可绕过BitLocker加密 e安在线 e安在线 2025-05-16 02:22 发现网络攻击后立即关闭系统?错! 当网络安全攻击发生时,许多组织的本能反应是关闭所有系统,期望如此来抑制攻击,减少损失。 然而,虽然这种反应可以理解,但并非总是最佳行动方案。当代网络攻击已经演变成精心编排的多阶段行动,而非简单的数字入侵。
继续阅读俄黑客组织 APT28 利用 MDaemon 0day漏洞攻击Webmail 服务器
俄黑客组织 APT28 利用 MDaemon 0day漏洞攻击Webmail 服务器 会杀毒的单反狗 军哥网络安全读报 2025-05-16 01:00 导读 根据 ESET 的最新发现,与俄罗斯有关的威胁组织涉嫌通过跨站点脚本 (XSS) 漏洞(包括 MDaemon 中的0day漏洞)针对 Roundcube、Horde、MDaemon 和 Zimbra 等网络邮件服务器进行网络间谍活动。 这项
继续阅读当单个ID失败时,成对ID可能通过!越权漏洞就这么简单
当单个ID失败时,成对ID可能通过!越权漏洞就这么简单 柠檬赏金猎人 2025-05-16 00:59 概述 IDOR,全称 Insecure Direct Object Reference(不安全的直接对象引用,越权),是 Web 安全领域的一个“老牌”漏洞,但威力不容小觑。 简单来说,IDOR 发生在应用程序直接使用用户输入的标识符(比如用户 ID、订单号等)来访问资源,却没有严格检查用户是否
继续阅读漏洞预警 | 用友U8Cloud XXE漏洞
漏洞预警 | 用友U8Cloud XXE漏洞 浅安 浅安安全 2025-05-16 00:00 0x00 漏洞编号 – # CNVD-2025-06352 0x01 危险等级 – 高危 0x02 漏洞概述 用友U8Cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。 0x03 漏洞详情 CNVD-2025-06352 漏洞类型:
继续阅读漏洞预警 | 帆软报表目录遍历漏洞
漏洞预警 | 帆软报表目录遍历漏洞 浅安 浅安安全 2025-05-16 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 帆软报表是一个企业级Web报表工具。 0x03 漏洞详情 漏洞类型: 目录遍历 影响: 获取敏感信息 简述: 帆软报表的/WebReport/ReportServer、/seeyonreport/Repor
继续阅读紧急预警!新Chrome漏洞(CVE-2025-4664)致跨域数据泄露,请立即更新
紧急预警!新Chrome漏洞(CVE-2025-4664)致跨域数据泄露,请立即更新 原创 道玄安全 道玄网安驿站 2025-05-15 23:02 “ CVE-2025-4664。” PS:有内网web自动化需求可以私信 01 — 导语 近日,Google紧急发布Chrome浏览器更新,修复了一个正在被黑客 主动利用 的高危漏洞(CVE-2025-4664,CVSS评分4.3)。该漏洞源于Ch
继续阅读【SRC实战】一次空白页面的“妙手回春”变严重漏洞
【SRC实战】一次空白页面的“妙手回春”变严重漏洞 Z2O安全攻防 2025-05-15 13:41 前言 某次企业SRC的一次实战。其中通过信息收集发现了一个站点,这里为内部系统,访问的时候居然直接一片空白,是空白页面。难道空白页面就没有漏洞吗?我就偏偏不信这个邪,上手就是干! 过程 https://x,x.com/ 打开页面啥也没有,一片空白: 其中这里按下键盘中的F12,通过审计js后,发现
继续阅读Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃
Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃 中科天齐软件安全中心 2025-05-15 10:00 点击 蓝字 关注中科天齐 Node.js团队近日发布重要安全公告,针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。 异步加密操作可能导致进程崩溃(CVE-2025-23166) 最严重的是一个被评定为&
继续阅读从XSS到”RCE”的PC端利用链构建
从XSS到”RCE”的PC端利用链构建 原创 X1ly?S 蚁景网络安全 2025-05-15 09:41 前言 先铺垫一下。笔者有一个习惯,懒得记各种命令和payload,手工渗透测试时,遇到比较长的payload的情况下,不想一个一个地去手敲命令,于是我之前就在github上想寻找一个类似于记事本的软件,但是最好和我的记录命令的需求适配,于是就找到了一位师傅写的开源项目
继续阅读【漏洞预警】Google Chrome访问控制不当漏洞
【漏洞预警】Google Chrome访问控制不当漏洞 cexlife 飓风网络安全 2025-05-15 09:06 漏洞描述: Google Chrome发布新版本,修复了4个安全漏洞其中包括一个访问控制不当漏洞,该漏洞的存在是由于Loader的策略实施不足,远程攻击者可以诱骗受害者访问一个特别设计的网站,最终导致受害者浏览器信息泄露或任意代码执行,该漏洞存在在野利用。Google官方已经在新
继续阅读创宇安全智脑 | 灵当 CRM Playforrecord.php 任意文件读取等107个漏洞可检测
创宇安全智脑 | 灵当 CRM Playforrecord.php 任意文件读取等107个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-05-15 08:57 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出
继续阅读微软2025年5月补丁日重点漏洞安全预警
微软2025年5月补丁日重点漏洞安全预警 原创 NEURON 山石网科安全技术研究院 2025-05-15 08:31 微软官方发布5月安全更新 请及时安装补丁修复 补丁概述 2025年5月13日,微软官方发布了5月安全更新,针对78个Microsoft CVE和5个non-Microsoft CVE进行修复。Microsoft CVE中,包含11个严重漏洞(Critical)、66个重要漏洞
继续阅读【已复现】Google Chrome 跨源数据泄露漏洞(CVE-2025-4664)安全风险通告
【已复现】Google Chrome 跨源数据泄露漏洞(CVE-2025-4664)安全风险通告 奇安信 CERT 2025-05-15 08:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome 跨源数据泄露漏洞 漏洞编号 QVD-2025-19630,CVE-2025-4664 公开时间 2024-05-14 影响量级 千万级 奇安信评级 高危
继续阅读Fortinet FortiOS 身份认证绕过漏洞(CVE-2025-22252)安全风险通告
Fortinet FortiOS 身份认证绕过漏洞(CVE-2025-22252)安全风险通告 奇安信 CERT 2025-05-15 08:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiOS 身份认证绕过漏洞 漏洞编号 QVD-2025-19674,CVE-2025-22252 公开时间 2025-05-13 影响量级 十万级 奇安信评级
继续阅读漏洞挖掘之 FOFA 语法技巧
漏洞挖掘之 FOFA 语法技巧 原创 骨哥说事 骨哥说事 2025-05-15 06:16 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4267 **不想错过任何消息?设置星标↓ ↓ ↓ 假设以 examp
继续阅读用友U8 CRM最新SQL注入漏洞及解决方法(CNVD-2025-09018)
用友U8 CRM最新SQL注入漏洞及解决方法(CNVD-2025-09018) 原创 护卫神 护卫神说安全 2025-05-15 02:28 用友U8 CRM是用友网络针对成长型企业推出的客户关系管理系统,聚焦客户全生命周期管理。其核心功能涵盖客户信息整合、销售机会跟进、市场活动管理及售后服务处理,支持从线索挖掘到订单成交的全流程自动化。系统内置销售漏斗分析工具,可实时监控商机推进阶段,科学预测销
继续阅读安全快报 | 国际APT威胁组织利用SAP NetWeaver严重安全漏洞入侵全球581个关键基础设施系统
安全快报 | 国际APT威胁组织利用SAP NetWeaver严重安全漏洞入侵全球581个关键基础设施系统 天懋信息 2025-05-15 02:05 本周安全事件速览 05月08日-05月14日 01 国际APT威胁组织利用SAP NetWeaver严重安全漏洞入侵全球581个关键基础设施系统 简要介绍**** 近期, 一个影响 SAP NetWeaver的严重安全漏洞 被威胁活动集群利用 以
继续阅读微软5月安全更新:78漏洞深度透视,5大零日实战利用链及Azure DevOps CVSS 10漏洞攻防策略
微软5月安全更新:78漏洞深度透视,5大零日实战利用链及Azure DevOps CVSS 10漏洞攻防策略 原创 Hankzheng 技术修道场 2025-05-14 23:55 核心看点 (TL;DR): 微软2025年5月补丁日修复78个漏洞,11个严重,5个零日(已被利用) 。 零日重灾区: Scripting Engine (RCE), DWM (EoP), CLFS (EoP x2)
继续阅读Laravel Framework 8到11版本存在敏感信息泄露漏洞CVE-2024-29291 附POC
Laravel Framework 8到11版本存在敏感信息泄露漏洞CVE-2024-29291 附POC 2025-5-14更新 南风漏洞复现文库 2025-05-14 14:56 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. La
继续阅读FortiVoice零日漏洞遭野外利用,特制HTTP请求可执行任意代码
FortiVoice零日漏洞遭野外利用,特制HTTP请求可执行任意代码 FreeBuf 2025-05-14 11:01 Fortinet公司近日披露了一个关键级基于栈的缓冲区溢出漏洞(CVE-2025-32756),该漏洞影响其安全产品线中的多款产品,且已确认有攻击者针对FortiVoice系统实施野外利用。 这个CVSS评分为9.6的漏洞允许远程未认证攻击者通过特制HTTP请求执行任意代码或命
继续阅读微软修复78个漏洞,5个零日漏洞被利用,Azure惊现满分漏洞
微软修复78个漏洞,5个零日漏洞被利用,Azure惊现满分漏洞 看雪学苑 看雪学苑 2025-05-14 09:59 本周二,微软发布月度安全更新,共修复78个安全漏洞,其中包含5个已被黑客组织实际利用的”零日漏洞”,以及一个影响Azure DevOps Server的CVSS满分(10分)高危漏洞。此次修复涉及Windows系统、Office套件、Azure云平台等核心产
继续阅读【风险通告】微软5月安全更新补丁和多个高危漏洞风险提示
【风险通告】微软5月安全更新补丁和多个高危漏洞风险提示 安恒研究院 安恒信息CERT 2025-05-14 09:57 漏洞公告 微软官方发布了5月安全更新公告,包含了Kernel Streaming Service Driver、Universal Print Management Service、Web Threat Defense (WTD.sys)、Microsoft Office、Win
继续阅读2025-05微软漏洞通告
2025-05微软漏洞通告 火绒安全 火绒安全 2025-05-14 09:29 微软官方发布了2025年05月的安全更新。本月更新公布了268个漏洞,包含29个远程执行代码漏洞、20个特权提升漏洞、16个信息泄露漏洞、7个拒绝服务漏洞、4个身份假冒漏洞、2个安全功能绕过漏洞,其中11个漏洞级别为“Critical”(高危),66个为“Important”(严重)。 建议用户及时使用火绒安全软件(
继续阅读