全球云上数据泄露风险分析简报 (第四期):供应链攻击致39万账户凭证泄露,MFA漏洞致多个云服务被未授权访问
全球云上数据泄露风险分析简报 (第四期):供应链攻击致39万账户凭证泄露,MFA漏洞致多个云服务被未授权访问 原创 创新研究院 绿盟科技研究通讯 2024-12-30 08:45
继续阅读标签: 信息泄露
一款卓越防护Web漏洞的神器
一款卓越防护Web漏洞的神器 原创 长亭 菜鸟学信安 2024-12-30 03:30 前言 作为网络安全从业者,近期我注意到雷池社区版成为了热议的焦点,在众多技术社群中频频被提及。 经过深入探究,我发现雷池WAF凭借其自带的动态防护能力脱颖而出。与市面上其他类型的防火墙相比,雷池WAF独创性地引入了语义分析算法,这一创新之举打破了传统规则算法的局限,实现了精准检测、低误报率以及难以被绕过等优势。
继续阅读AJ-Report 可视化大屏漏洞复现
AJ-Report 可视化大屏漏洞复现 kali笔记 2024-12-30 01:14 AJ-Report是全开源的一个BI平台,酷炫大屏展示,能随时随地掌控业务动态,让每个决策都有数据支撑。多数据源支持,内置mysql、elasticsearch、kudu驱动,支持自定义数据集省去数据接口开发,目前已支持30+种大屏组件/图表,不会开发,照着设计稿也可以制作大屏。 部署相关 在之前的文字中写过,
继续阅读警惕!2024年全球零日漏洞利用呈现七大趋势
警惕!2024年全球零日漏洞利用呈现七大趋势 安全内参编译 安小圈 2024-12-30 00:45 安小圈 第578期 【零日漏洞】趋势 网络安全设备、远程监控和管理产品、托管文件传输服务、CI/CD工具、开源软件供应链、AI基础软件、系统自带安全功能等成为零日漏洞的热门攻击目标。 安全内参12月25日消息,2024年,零日漏洞的数量再次显著增加。由于缺乏可用的补丁,这些漏洞使攻击者可以先于网络
继续阅读漏洞预警 | 泛微e-cology9 SQL注入漏洞
漏洞预警 | 泛微e-cology9 SQL注入漏洞 浅安 浅安安全 2024-12-30 00:00 0x00 漏洞编号 – 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台
继续阅读漏洞预警 | 灵当CRM任意文件上传和SQL注入漏洞
漏洞预警 | 灵当CRM任意文件上传和SQL注入漏洞 浅安 浅安安全 2024-12-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 灵当CRM是一款专为中小企业打造的智能客户关系管理工具。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意脚本文件 简述: 灵当CRM的uploadfile.php接口存在任
继续阅读漏洞预警 | 用友NC-Cloud SQL注入漏洞
漏洞预警 | 用友NC-Cloud SQL注入漏洞 浅安 浅安安全 2024-12-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC Cloud是新一代云ERP产品,为成长型、大型、巨型集团企业提供混合云解决方案。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 窃取敏感信息 简述: 用友NC-Cloud的/
继续阅读如何在复杂环境下快速定位并应对网络攻击?
如何在复杂环境下快速定位并应对网络攻击? 原创 专业 信息安全动态 2024-12-29 22:00 在当今数字化时代,网络环境变得愈发复杂。随着信息技术的飞速发展,各种网络设备、系统和应用层出不穷,它们相互连接、交互,形成了一个庞大而错综复杂的网络空间。从企业的内部办公网络到全球范围的互联网,从传统的计算机系统到新兴的物联网设备,无数的节点和链路构成了这一复杂的网络生态。 与此同时,网络攻击的频
继续阅读赛克安全本周漏洞推送(12.22-12.27)涉及国威IP数字语音系统、黄药师、企企通、快云服务器、一卡通系统漏洞
赛克安全本周漏洞推送(12.22-12.27)涉及国威IP数字语音系统、黄药师、企企通、快云服务器、一卡通系统漏洞 thelostworld 2024-12-29 15:08 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用
继续阅读【SRC】SQL 注入(SQLi)漏洞检测指南
【SRC】SQL 注入(SQLi)漏洞检测指南 独眼情报 2024-12-29 11:16 SQL 注入(SQLi)漏洞检测指南 SQL 注入漏洞仍然是 web 应用程序中的一个重要安全问题。本指南将详细介绍如何识别、测试和记录 SQLi 漏洞,并强调授权测试的安全研究实践。 前提条件 在开始任何安全测试之前,请确保您已经: – 获得了测试目标系统的书面授权 使用受控的测试环境或明确的
继续阅读网络信息系统WF2409E路由器进行了一次完整的硬件安全分析研究 | 漏洞分析
网络信息系统WF2409E路由器进行了一次完整的硬件安全分析研究 | 漏洞分析 Victorique-123 夜组安全 2024-12-29 04:17 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!
继续阅读CVE-2024-53961|Adobe ColdFusion路径遍历漏洞
CVE-2024-53961|Adobe ColdFusion路径遍历漏洞 alicy 信安百科 2024-12-28 09:56 0x00 前言 Adobe ColdFusion是一个应用服务器平台,其运行的CFML(ColdFusion Markup Language)针对Web应用的一种脚本语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib)。文件以*.cfm为文件
继续阅读CVE-2024-55461|SeaCMS海洋影视管理系统远程代码执行漏洞(POC)
CVE-2024-55461|SeaCMS海洋影视管理系统远程代码执行漏洞(POC) alicy 信安百科 2024-12-28 09:56 0x00 前言 海洋CMS是一套专为不同需求的站长而设计的内容管理系统,灵活、方便、人性化设计、简单易用是最大的特色,可快速建立一个海量内容的专业网站。海洋CMS基于PHP+MySql技术开发,完全开源免费 、无任何加密代码。 官网:www.seacms.
继续阅读CVE-2024-56145|Craft CMS远程代码执行漏洞(POC)
CVE-2024-56145|Craft CMS远程代码执行漏洞(POC) alicy 信安百科 2024-12-28 09:56 0x00 前言 Craft CMS是一个开源的内容管理系统,它专注于用户友好的内容创建过程,可以用来创建个人或企业网站也可以搭建企业级电子商务系统。 Craft界面简洁优雅,逻辑清晰明了,是一个高度自由,高度自定义设计的平台。虽然不需要专业的编程知识,要对模板语法有所
继续阅读通过 X-Forwarded-Host 泄露密码重置令牌
通过 X-Forwarded-Host 泄露密码重置令牌 Ots安全 2024-12-28 06:29 这是我的第一篇博客,如果您发现任何拼写错误,请在接下来的几分钟内耐心等待。这篇博客是关于一个漏洞的,我在 Hackerone 的私人程序中发现了这个漏洞,它允许我接管任何用户的帐户。但在开始这篇博客之前,我想提供一些有关 Host 标头的基本信息。 HTTP 主机标头是什么?永久链接 HTTP
继续阅读2024年零日漏洞利用七大趋势
2024年零日漏洞利用七大趋势 黑白之道 2024-12-28 05:40 未修补的漏洞一直是攻击者入侵企业系统的重要手段,尤其是零日漏洞。由于这些漏洞没有修复方案,攻击者可以在防御团队来不及应对之前迅速发动攻击。2024年,零日漏洞数量再次大幅增长,攻击者借此获得了先发优势,成为攻击企业网络和数据的关键武器。 虽然所有零日漏洞都需要被CISO及安全团队密切关注并及时修复,但其中有些漏洞因其关键性
继续阅读FreeBuf周报 | AI平台1.29T数据库裸奔;9.9分SQL注入漏洞可获admin权限
FreeBuf周报 | AI平台1.29T数据库裸奔;9.9分SQL注入漏洞可获admin权限 Zicheng FreeBuf 2024-12-28 02:02 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 账号和密钥明文存储,AI平台1.29T数据库裸奔 近日,网络安全研
继续阅读分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集
分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集 原创 神农Sec 神农Sec 2024-12-28 01:05 扫码加圈子获内部资料网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 哈喽师傅们,这篇文章自己写之前先是看了十几篇的Fastjson反序列化漏洞相关的文章,自己也是先学习了
继续阅读曝9.9分高危SQL注入漏洞!Apache Traffic Control项目遭遇严重安全危机
曝9.9分高危SQL注入漏洞!Apache Traffic Control项目遭遇严重安全危机 看雪学苑 看雪学苑 2024-12-27 09:59 近日,Apache软件基金会(ASF)紧急发布了针对其开源内容分发网络(CDN)项目——Apache Traffic Control的安全更新,修复了一个被标识为CVE-2024-45387的高危SQL注入漏洞。该漏洞在CVSS评分系统中获得了9.9
继续阅读EDU-Kesion科汛开发的在线教育建站系统存在SQL注入漏洞 (大量存在含POC新接口) | 漏洞预警
EDU-Kesion科汛开发的在线教育建站系统存在SQL注入漏洞 (大量存在含POC新接口) | 漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2024-12-27 08:06 0x01 产品简介 科汛网校KesionEDU是KESION科汛开发的在线教育建站系统,支持在线直播教学、课程点播、录播授课等多种教学方式,满足不同场景下的教学需求。提供问答互动、学习点评、在线
继续阅读Adobe最新漏洞被披露,已有PoC代码流出
Adobe最新漏洞被披露,已有PoC代码流出 工业互联网安全 金瀚信安 2024-12-27 05:27 Adobe近期发布了紧急安全更新,针对ColdFusion中的一个关键漏洞,该漏洞已有概念验证(PoC)代码流出。根据周一的公告,这个编号为CVE-2024-53961的漏洞源于路径遍历弱点,影响了Adobe ColdFusion 2023和2021版本,攻击者可借此读取易受攻击服务器上的任意
继续阅读【1day】WordPress Elementor Page Builder 插件任意文件读取漏洞(CVE-2024-9935)
【1day】WordPress Elementor Page Builder 插件任意文件读取漏洞(CVE-2024-9935) Mstir 星悦安全 2024-12-27 04:05 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 适用于 WordPress 的 Elementor Page Builder 插件的 PDF 生成器插件在 1.7.5 之前的所有版本中都容易受到路径遍历的攻
继续阅读文末送书!!!发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
文末送书!!!发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! 黑白之道 2024-12-27 02:10 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研
继续阅读且看安恒零信任如何携手钉钉,成为客户最佳拍档
且看安恒零信任如何携手钉钉,成为客户最佳拍档 安恒信息 2024-12-27 01:22 前言 在多云化的数字时代,随着企业的数字化转型, 企业办公安全成为了企业最大挑战。 1、安全难以感知和防护应用风险; 2、永远会存在未知的漏洞,防守永远会落后于攻击方; 3、传统安全方案碎片化严重,安全产品越多,运营效率越低,应用也会受到更多影响,拉低业务效率。 如何帮助企业打造应用访问的安全底盘,构建零信任
继续阅读信息安全漏洞周报【第003期】
信息安全漏洞周报【第003期】 零零捌信安观察 银天信息 2024-12-27 01:10 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读【漏洞复现】高校人力资源管理服务平台系统ReportServer存在敏感信息泄露漏洞
【漏洞复现】高校人力资源管理服务平台系统ReportServer存在敏感信息泄露漏洞 原创 清风 白帽攻防 2024-12-27 01:03 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 高校人力资源管理系统通过在线化管理实现了招聘全流程的高效操作,包括职位
继续阅读网络勒索:技术之外,“人”为漏洞
网络勒索:技术之外,“人”为漏洞 安小圈 2024-12-27 00:46 安小圈 第577期 网络勒索 · “人”为漏洞 01 网络勒索:数字化时代的“绑匪” 网络勒索,顾名思义,是黑客利用恶意软件对受害者的计算机系统进行攻击,加密或者封锁受害者的数据或者系统,然后要求受害者支付赎金以恢复数据或者解除系统封锁的行为。这种软件的攻击目标广泛,从个人用户到大型企业,无一幸免。
继续阅读漏洞预警 | 昂捷ERP任意文件读取漏洞
漏洞预警 | 昂捷ERP任意文件读取漏洞 浅安 浅安安全 2024-12-27 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 昂捷信息,以软件开发为核心,聚焦于零售行业数字化赋能,为超市、便利店、百货、购物中心、专营专卖等各零售业态提供全面的数字化解决方案和咨询服务,是业界领先的全链路数字化解决方案服务商。 0x03 漏洞详
继续阅读漏洞预警 | BeyondTrust RS & PRA命令注入漏洞
漏洞预警 | BeyondTrust RS & PRA命令注入漏洞 浅安 浅安安全 2024-12-27 00:03 0x00 漏洞编号 – # CVE-2024-12356 0x01 危险等级 – 高危 0x02 漏洞概述 BeyondTrust特权远程访问和远程支持产品是由BeyondTrust公司提供的一套安全解决方案,主要用于管理和保护IT系统中的远程访问权
继续阅读漏洞预警 | 云供应链管理系统SQL注入漏洞
漏洞预警 | 云供应链管理系统SQL注入漏洞 浅安 浅安安全 2024-12-27 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 秒优科技的供应链管理系统是一款面向企业用户的数字化管理平台,致力于优化供应链环节,提高企业运营效率。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 云供应链管理系统的/
继续阅读