美国CISA敦促开发人员消除缓冲区溢出漏洞
美国CISA敦促开发人员消除缓冲区溢出漏洞 安全学习那些事儿 2025-02-16 23:00 2025年2月14日, 美国网络安全和基础设施安全局CISA再次提醒IT制造商和开发人员,必须消除软件中的缓冲区溢出漏洞。简而言之,企业需要快速采用”安全设计”政策。 CISA针对缓冲区溢出漏洞发布了一项新的警报,敦促软件行业采用正确的编程方法来消除一整类危险的安全漏洞。CISA
继续阅读标签: 信息泄露
Tips | 提取java应用内存从而直接获取明文密码和配置信息的方法
Tips | 提取java应用内存从而直接获取明文密码和配置信息的方法 sec0nd安全 2025-02-16 09:30 很久没发文章了,最近时间零零散散的。新开一个栏目,平时打项目时在网上发现的或者自己捣鼓出来的小技巧专门丢到这个栏目里。这个栏目的每篇文章的格式可能不会很严谨,文章内容也不会很长,主要是分享一些实用小技巧。 平时在做渗透的时候,偶尔会遇到一些java应用的配置文件做了加密,常见
继续阅读马斯克麻烦缠身!DOGE官网现重大安全漏洞被黑客发布警告信息
马斯克麻烦缠身!DOGE官网现重大安全漏洞被黑客发布警告信息 原创 网空闲话 网空闲话plus 2025-02-16 00:51 综合Cybersecuritynews、Yahoo等网站2月15日消息,伊隆·马斯克领导的政府效率部(DOGE)推出的官方网站被发现存在严重的安全漏洞,允许未经授权的用户直接修改网站内容。该漏洞源于网站使用了一个不安全的外部数据库,使得任何人都可以实时发布和显示内容。网
继续阅读蓝凌软件 EKP系统 kmImeetingBookWebService 未授权 外部资源引用不当漏洞
蓝凌软件 EKP系统 kmImeetingBookWebService 未授权 外部资源引用不当漏洞 上汽集团网络安全应急响应中心 2025-02-15 15:56 漏洞情报 蓝凌软件 EKP系统 kmImeetingBookWebService 未授权 外部资源引用不当漏洞 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到蓝凌软件 EKP系统存在一个外部资源引用不当
继续阅读蓝凌软件 EKP系统 sysNotifyTodoWebService 未授权 外部资源引用不当漏洞
蓝凌软件 EKP系统 sysNotifyTodoWebService 未授权 外部资源引用不当漏洞 上汽集团网络安全应急响应中心 2025-02-15 15:56 漏洞情报 蓝凌软件 EKP系统 sysNotifyTodoWebService 未授权 外部资源引用不当漏洞 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到蓝凌软件 EKP系统存在一个外部资源引用不当漏洞
继续阅读蓝凌软件 EKP系统 sysTagWebService 未授权 外部资源引用不当漏洞
蓝凌软件 EKP系统 sysTagWebService 未授权 外部资源引用不当漏洞 上汽集团网络安全应急响应中心 2025-02-15 15:56 漏洞情报 蓝凌软件 EKP系统 sysTagWebService 未授权 外部资源引用不当漏洞 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到蓝凌软件 EKP系统存在一个外部资源引用不当漏洞,未经授权的攻击者可以通过
继续阅读用友网络 用友NC linkVoucher 未授权 SQL注入漏洞
用友网络 用友NC linkVoucher 未授权 SQL注入漏洞 上汽集团网络安全应急响应中心 2025-02-15 15:56 漏洞情报 用友网络 用友NC linkVoucher 未授权 SQL注入漏洞 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到用友NC linkVoucher 接口存在一个SQL注入漏洞,未经授权的攻击者可以通过该漏洞获取数据库敏感信息。
继续阅读EDUSRC漏洞挖掘技巧汇总+信息收集各种姿势
EDUSRC漏洞挖掘技巧汇总+信息收集各种姿势 sec0nd安全 2025-02-15 12:49 扫码领资料 获网安教程 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 浅谈 哈喽哇,师傅们! 最近在挖教育类edudrc漏洞,然后最近在研究大学都有的站点功能——校园统一身份认证登录。这个站点每个学校
继续阅读CVE-2025-25064|Zimbra存在SQL注入漏洞(POC)
CVE-2025-25064|Zimbra存在SQL注入漏洞(POC) alicy 信安百科 2025-02-15 10:30 0x00 前言 Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。 Zimbra的核心产品是Zimbra协作套件
继续阅读CVE-2025-0108|Palo Alto Networks PAN-OS管理界面认证绕过漏洞(POC)
CVE-2025-0108|Palo Alto Networks PAN-OS管理界面认证绕过漏洞(POC) alicy 信安百科 2025-02-15 10:30 0x00 前言 派拓网络(Palo Alto Networks)是一家网络安全公司,总部位于美国加利福尼亚州圣克拉拉市。公司的核心产品为“下一代防火墙”(Next-Generation Firewall)平台,提供网络活动的可视化能力
继续阅读03 漏洞从哪里来?——编程习惯
03 漏洞从哪里来?——编程习惯 原创 Richard 方桥安全漏洞防治中心 2025-02-15 06:19 代码质量直接决定系统安全性。编程习惯,或者“规范”,作为关键因素,直接影响漏洞产生的概率。 注入(OWASP A03:2021, SQL注入、XSS等)、缓冲区溢出(如:CWE-120)等安全漏洞均来源于非常基础的编码缺陷(NIST IR 8397)。 硬编码凭证(CWE-259)
继续阅读FreeBuf周报 | 全球VPN设备遭遇大规模暴力破解攻击;OpenSSL 软件库曝高危漏洞
FreeBuf周报 | 全球VPN设备遭遇大规模暴力破解攻击;OpenSSL 软件库曝高危漏洞 Zicheng FreeBuf 2025-02-15 02:05 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 热点资讯 1. 全球VPN设备遭遇大规模暴力破解攻击,280万IP地址参与其中 一场大规模的暴力破解密
继续阅读超大规模物联网漏洞事件曝光:27亿条数据泄露,含WiFi密码
超大规模物联网漏洞事件曝光:27亿条数据泄露,含WiFi密码 AI小蜜蜂 FreeBuf 2025-02-15 02:05 近日,一场规模巨大的物联网(IoT)安全漏洞事件曝光了27亿条包含敏感用户数据的信息,其中包括Wi-Fi网络名称、密码、IP地址和设备标识符。 此次事件与一家植物生长灯制造商Mars Hydro以及加州注册公司LG-LED SOLUTIONS LIMITED有关。 网络安全研
继续阅读从路径遍历到RCE:解锁$40,000赏金的黑客进阶之路
从路径遍历到RCE:解锁$40,000赏金的黑客进阶之路 安全小白团译文 安全小白团 2025-02-14 22:01 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 背景 安全小白团 在这篇文章中,我将详细介绍我和 Orwa Atyat如何成功将一个受限的路径遍历漏洞升级为 RCE,并因此赢得40,000 美元的赏金的故
继续阅读用友网络 GRP-U8Cloud 逻辑缺陷漏洞 可导致敏感信息泄露
用友网络 GRP-U8Cloud 逻辑缺陷漏洞 可导致敏感信息泄露 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 用友网络 GRP-U8Cloud 逻辑缺陷漏洞 可导致敏感信息泄露 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到用友安全中心发布安全公告,其中公开了一个GRP-U8Cloud内控管理软件(taskcenter)的逻辑缺陷漏洞
继续阅读IDocView在线文档预览qJvqhFt.json任意文件读取漏洞
IDocView在线文档预览qJvqhFt.json任意文件读取漏洞 原创 骇客安全 骇客安全 2025-02-14 14:09 漏洞描述I Doc View 在线文档预览 qJvqhFt.json 任意文件读取漏洞,攻击者可利用此漏洞收集敏感信息,从而为下一步攻击做准备。漏洞复现1、fofatitle==”在线文档预览 – I Doc View”2、部分界面如
继续阅读30,000个WordPress网站因文件上传漏洞暴露于攻击风险
30,000个WordPress网站因文件上传漏洞暴露于攻击风险 网安百色 2025-02-14 11:29 点击上方 蓝字 关注我们吧~ “安全与恶意软件扫描CleanTalk”插件中的一个严重安全漏洞使3万多个WordPress网站暴露于漏洞攻击。 该漏洞被标识为CVE-2024-13365,允许未经身份验证的攻击者进行任意文件上传,有可能导致远程代码执行(RCE)。 该缺陷被赋予CVSS 9
继续阅读已复现!Palo Alto Networks PAN-OS 身份验证绕过漏洞
已复现!Palo Alto Networks PAN-OS 身份验证绕过漏洞 应急响应中心 亚信安全 2025-02-14 10:15 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,披露了Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108) 。在PAN-OS中由于Nɡinх/Aрасhе对路径的处理不同从而导致身份验证绕过、未经身份验证的攻
继续阅读【漏洞预警】Orthanc身份认证绕过漏洞(CVE-2025-0896)
【漏洞预警】Orthanc身份认证绕过漏洞(CVE-2025-0896) cexlife 飓风网络安全 2025-02-14 10:06 漏洞描述: Orthаnс服务器在版本1.5.8之前,默认情况下在启用远程访问时不启用基本认证,这可能会导致攻击者未经授权的访问。 攻击场景: 攻击者可能通过远程访问Orthanc服务器,绕过身份认证机制,未经授权的访问医疗数据和医疗操作。 在野利用情况: 已经
继续阅读【国际视野】美国网络安全和基础设施安全局和联邦调查局联合发布《设计安全警报:消除缓冲区溢出漏洞》
【国际视野】美国网络安全和基础设施安全局和联邦调查局联合发布《设计安全警报:消除缓冲区溢出漏洞》 原创 天极智库 天极智库 2025-02-14 10:00 “ 天极按 近日, 网络安全和基础设施安全局(CISA)发布了《联合网络防御协作组织人工智能网络安全协作手册》(Joint Cyber Defense Collaborative (JCDC) Artificial Intelligence
继续阅读【网安洞察】漏洞利用分析:大众汽车近百万用户位置信息泄露事件
【网安洞察】漏洞利用分析:大众汽车近百万用户位置信息泄露事件 粤网安宣 广东省网络安全应急响应中心 2025-02-14 02:15 摘要 2024年12月27日,德国《明镜》周刊报道软件公司Cariad出现安全漏洞,致使约80万辆大众集团在欧洲销售的电动汽车位置信息在互联网上暴露数月。 欧洲“混乱计算机俱乐部”(CCC)向Cariad通报该漏洞后,其进行了紧急修复。测试发现可精准追踪德国政治人物
继续阅读CVE-2024-12797 修复指南
CVE-2024-12797 修复指南 原创 ralap 网络个人修炼 2025-02-14 02:01 CVE-2024-12797 是一个针对 OpenSSL 库的安全漏洞,它可能允许攻击者通过特定方式操纵加密通信或数据,从而导致信息泄露或其他安全隐患。 关键点: – 默认情况下,TLS 客户端和 TLS 服务器都禁用了 RPK(Raw Public Key)。只有当 TLS 客户
继续阅读郑州时空-TMS运输管理系统 GetDataBase 信息泄露漏洞
郑州时空-TMS运输管理系统 GetDataBase 信息泄露漏洞 Superhero nday POC 2025-02-14 01:58 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读手把手教你审计PHP CMS漏洞 | 某腾CMS漏洞实战案例分析
手把手教你审计PHP CMS漏洞 | 某腾CMS漏洞实战案例分析 原创 C4安全团队运营 Code4th安全团队 2025-02-14 00:05 代码审计是保障Web应用安全的关键环节,但往往被许多开发者和企业忽视。无论是小型的个人网站,还是大型的电商、金融平台,代码的安全性都至关重要。在这个数字化时代,代码漏洞可能直接导致数据泄露、资金损失甚至法律风险,因此,发现并修复代码中的漏洞,是每个开发
继续阅读漏洞预警 | 平升电子水库安全监管平台SQL注入漏洞
漏洞预警 | 平升电子水库安全监管平台SQL注入漏洞 浅安 浅安安全 2025-02-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 平升电子水库安全监管平台通过实时监测、数据分析、预警系统和远程控制等功能,为水库管理部门提供了一种全面、高效的数字化解决方案。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感
继续阅读漏洞预警 | 大为知识产权协同创新管理系统未授权访问漏洞
漏洞预警 | 大为知识产权协同创新管理系统未授权访问漏洞 浅安 浅安安全 2025-02-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 大为知识产权协同创新管理系统是一款专为企业、科研机构及知识产权代理机构设计的软件,旨在提升知识产权管理效率,促进协同创新。 0x03 漏洞详情 漏洞类型: 未授权访问 影响: 获取敏感
继续阅读暗网情报4则:又见SS7漏洞
暗网情报4则:又见SS7漏洞 原创 网空闲话 网空闲话plus 2025-02-13 23:26 1、威胁者出售oTello SS7零日漏洞,标价5万美元XMR 2025年2月14日,威胁情报平台Dark Web Informer发布消息称,有威胁者正在暗网出售oTello SS7的零日漏洞,标价为50,000美元XMR(门罗币)。SS7协议漏洞长期以来被用于窃听电话、拦截短信等攻击,此次零日漏洞
继续阅读Z0SCAN一款基于Python3的主、被动扫描器|漏洞探测
Z0SCAN一款基于Python3的主、被动扫描器|漏洞探测 工具-Cavin小编 渗透安全HackTwo 2025-02-13 16:01 0x01 工具介绍 Z0SCAN是一个基于Python3的主、被动扫描器,旨在进行Web应用安全测试。它支持多种插件,包括SQL注入、XSS、文件上传、目录遍历等漏洞检测,并提供主动和被动扫描方式。Z0SCAN还包含一个MITM代理,用于拦截和分析HTTP/
继续阅读漏洞利用-可绕过已修复的NVIDIA容器工具包漏洞
漏洞利用-可绕过已修复的NVIDIA容器工具包漏洞 原创 wolven Chan 风铃Sec 2025-02-13 15:58 网络安全研究人员发现了一个现已修补的 NVIDIA 容器工具包安全漏洞的绕过方法,该漏洞可能被利用来突破容器的隔离保护,并获得对底层主机的完全访问权限。 新发现的漏洞被追踪为 CVE-2025-23359(CVSS 评分:8.3)。该漏洞影响以下版本: – N
继续阅读Windows存储系统现0day漏洞,攻击者可远程删除目标文件
Windows存储系统现0day漏洞,攻击者可远程删除目标文件 AI小蜜蜂 FreeBuf 2025-02-13 11:02 Windows系统近日被曝出一个重大安全漏洞,攻击者可利用该漏洞远程删除受影响系统上的目标文件。该漏洞编号为CVE-2025-21391,于2025年2月11日披露,属于权限提升漏洞,严重性被评定为”重要”级别。 漏洞详情与风险分析 CVE-2025
继续阅读