Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (上)
Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (上) 原创 Heihu577 Heihu Share 2024-12-02 15:23 前言 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 Shiro 的漏洞已爆出很多年, 我们只关心到了它如何触发, 有时并没有想过这个框架是干嘛的, 甚至没有分析过该框架的
继续阅读标签: 信息泄露
【漏洞情报】九思协同办公系统存在SQL注入漏洞
【漏洞情报】九思协同办公系统存在SQL注入漏洞 cexlife 飓风网络安全 2024-12-02 14:37 漏洞描述:九思协同办公系统/jsoa/workflow/dwr/exec/workflowSync.getUserStatusByRole.dwr存在SQL注入漏洞,可利用该漏洞获取数据库中的敏感信息等,未经授权的攻击者可以通过该漏洞获取数据库敏感信息。临时修复建议:1、加强系统和网络的
继续阅读漏洞推送|EnjoyRMIS_cwsfiledown存在文件读取漏洞
漏洞推送|EnjoyRMIS_cwsfiledown存在文件读取漏洞 小白菜安全 小白菜安全 2024-12-02 13:03 漏洞描述 EnjoyRMIS cwsfiledown存在任意文件读取漏洞,攻击者可通过该漏洞获取敏感信息 资产信息 fofa:body=”CheckSilverlightInstalled” 漏洞复现 POC POST /EnjoyRMIS_WS/
继续阅读文末抽奖福利!发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
文末抽奖福利!发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! 听风安全 2024-12-02 12:28 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOn
继续阅读API测试思路及crAPI漏洞靶场复现
API测试思路及crAPI漏洞靶场复现 原创 LULU 红队蓝军 2024-12-02 10:03 环境搭建 地址:https://github.com/OWASP/crAPI curl -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker-compose.yml
继续阅读安全热点周报:黑客利用 ProjectSend 漏洞攻击暴露后门的服务器
安全热点周报:黑客利用 ProjectSend 漏洞攻击暴露后门的服务器 奇安信 CERT 2024-12-02 09:48 安全资讯导视 • 国家能源局印发《关于加强电力安全治理 以高水平安全保障新型电力系统高质量发展的意见》 • 网站漏洞致用户信息长期被爬,两家美国保险商被罚超8100万元 • 网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞 PART01 漏洞情报
继续阅读【已复现】Zabbix SQL注入漏洞(CVE-2024-42327) 安全风险通告
【已复现】Zabbix SQL注入漏洞(CVE-2024-42327) 安全风险通告 奇安信 CERT 2024-12-02 09:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Zabbix SQL注入漏洞 漏洞编号 QVD-2024-48731,CVE-2024-42327 公开时间 2024-11-27 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 9.
继续阅读SSP-高效 Spring 框架漏洞扫描与利用工具
SSP-高效 Spring 框架漏洞扫描与利用工具 原创 sspsec SSP安全研究 2024-12-02 07:35 SSP – Spring框架漏洞扫描工具 🚀 简介 在日常渗透工作中,遇到很多Spring框架搭建的服务,很多都是Whitelabel Error Page页面,对于Spring的扫描工具github中也有很多项目 python的 java的,但使用go的就很少。因
继续阅读Linux安全警报:首个UEFI bootkit恶意软件现身;ThinkPad笔记本曝硬件级漏洞,黑客可偷偷控制摄像头 | 牛览
Linux安全警报:首个UEFI bootkit恶意软件现身;ThinkPad笔记本曝硬件级漏洞,黑客可偷偷控制摄像头 | 牛览 安全牛 2024-12-02 05:04 点击蓝字·关注我们 / aqniu 新闻速览 •隐私监管审查不断加码,Tor项目或启动WebTunnel网桥扩展计划 •澳大利亚新《网络安全法》获通过,强制要求报告勒索赎金支付 •Linux系统警报:首个UEFI bootk
继续阅读漏洞预警 | SRM智联云采系统SQL注入漏洞
漏洞预警 | SRM智联云采系统SQL注入漏洞 浅安 浅安安全 2024-12-02 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 智互联科技有限公司的SRM智联云采系统是一款专业的数字采购平台,旨在助力企业实现采购数字化转型,提升供应链管理的效率和协同能力。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息
继续阅读AD证书服务漏洞使攻击者能够提权
AD证书服务漏洞使攻击者能够提权 原创 何威风 祺印说信安 2024-12-01 16:00 Microsoft 的 Active Directory 证书服务 (AD CS) 中存在一个严重漏洞,可能允许攻击者提升权限并可能获得域管理员访问权限。 这个被称为 ESC15 或“EKUwu”的新漏洞是由 TrustedSec 于 2024 年 10 月初发现的,此后被添加到流行的攻击性安全工具中。
继续阅读CVE-2024-11477|7-Zip代码执行漏洞(POC)
CVE-2024-11477|7-Zip代码执行漏洞(POC) alicy 信安百科 2024-12-01 01:30 0x00 前言 7-Zip( 7z解压软件) 是一款完全免费的压缩解压缩软件,同其他压缩软件 相比它的压缩速度更快压缩率更好,不仅支持众多主流格式、支持超线程,而且还有强大的AES-256加密算法可以为文件进行加密 ,增强文件的安全性。 它支持多种压缩格式,包括但不限于 7z、Z
继续阅读CVE-2024-42327|Zabbix SQL注入漏洞
CVE-2024-42327|Zabbix SQL注入漏洞 alicy 信安百科 2024-12-01 01:30 0x00 前言 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 Zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。 Zabbix由2部分构成, Zabbix serv
继续阅读攻击者利用Windows 11整数溢出漏洞提升权限
攻击者利用Windows 11整数溢出漏洞提升权限 原创 何威风 祺印说信安 2024-11-30 16:01 Windows 11 中发现了一个严重的安全漏洞,攻击者可以通过整数溢出漏洞获得提升的系统权限。 该漏洞影响ksthunk.sys 驱动程序,并在最近的 TyphoonPWN 2024 活动中成功演示,并获得第二名。 该漏洞存在于ksthunk.sys 的 CKSAutomationTh
继续阅读CVE-2024-46938|Sitecore CMS未经身份验证任意文件读取漏洞(POC)
CVE-2024-46938|Sitecore CMS未经身份验证任意文件读取漏洞(POC) alicy 信安百科 2024-11-30 10:00 0x00 前言 Sitecore Experience Platform™ (XP) 是一款基于.NET WebForm技术构建的内容管理系统,可以将客户数据、分析、人工智能与营销自动化功能相结合,在任何渠道上实时提供个性化的内容,从而在客户旅程中与
继续阅读Docker Registry 未授权访问漏洞利用(工具+利用思路)
Docker Registry 未授权访问漏洞利用(工具+利用思路) 原创 黑熊先生 黑熊安全 2024-11-30 07:09 亲爱的读者,我们诚挚地提醒您,黑熊安全公众号的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。黑熊安全团队及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! 漏洞描述
继续阅读天清汉马vpn任意文件读取【漏洞复现】
天清汉马vpn任意文件读取【漏洞复现】 原创 星河 网安探索队 2024-11-30 06:24 点 击 上 方 公 众 号 关 注 我 们 建议大家把公众号“网安探索队”设为星标,否则可能就看不到啦! 因 为 公 众 号 现 在 只 对 常 读 和 星 标 的 公 众 号 才 能 展 示 大 图 推 送 。 操 作 方 法 : 点 击 右 上 角 的 【 . . . 】 , 然 后 点 击 【
继续阅读施耐德电气、mySCADA 和 Automated Logic 产品中发现严重 ICS 漏洞
施耐德电气、mySCADA 和 Automated Logic 产品中发现严重 ICS 漏洞 会杀毒的单反狗 军哥网络安全读报 2024-11-30 01:01 导读 Cyble ICS 漏洞最新报告披露施耐德电气、mySCADA 和 Automated Logic 等主要供应商的工业控制系统 (ICS) 中的几个严重漏洞。 这些漏洞中,有些被归类为高风险,使制造业、能源和通信等关键行业的系统面临
继续阅读漏洞挖掘|遇到APP数据加密如何解密测试
漏洞挖掘|遇到APP数据加密如何解密测试 黑白之道 2024-11-30 00:43 原文首发在:Freebuf社区 https://www.freebuf.com/articles/mobile/413935.html**** 文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为! 0x01 加解密的意义 相信大部分测试过app的好兄
继续阅读漏洞预警 | 任子行网络安全审计系统SQL注入漏洞
漏洞预警 | 任子行网络安全审计系统SQL注入漏洞 浅安 浅安安全 2024-11-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 任子行网络安全审计系统是一款提供全方位网络流量监控与分析的安全解决方案,适用于政府、企业和公共机构。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 任子行网络安全
继续阅读从404到RCE,挖洞像喝水一样简单
从404到RCE,挖洞像喝水一样简单 Z2O安全攻防 2024-11-29 21:39 免责声明 :请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 又到年底冲刺的阶段了,各种众测,攻防演练项目也都接踵而来。好久没有水文章了,今天来冒个泡
继续阅读【漏洞预警】Zyxel ZLD防火墙路径遍历漏洞(CVE-2024-11667)
【漏洞预警】Zyxel ZLD防火墙路径遍历漏洞(CVE-2024-11667) cexlife 飓风网络安全 2024-11-29 13:15 漏洞预警:合勤科技(ZyXEL)是国际著名的网络宽带系统及解决方案供应商,ZLD(Zyxel Linux Distribution)是Zyxel的防火墙操作系统,专为其下一代防火墙 (NGFW) 和统一威胁管理 (UTM) 设备设计,支持高级的网络安全功
继续阅读漏洞推送|某信公交apply存在SQL注入漏洞
漏洞推送|某信公交apply存在SQL注入漏洞 小白菜安全 小白菜安全 2024-11-29 12:07 漏洞描述 海信智能公交企业管理系统是一款基于大数据和人工智能技术构建的综合管理系统,旨在全面提升公交企业的安全保障能力、运营生产效率、企业管理水平、决策分析能力和乘客出行体验。该系统apply存在SQL注入漏洞,攻击者通过该漏洞获取敏感信息。 资产信息 fofa:”HisModul
继续阅读网络安全动态 一周速览 2024.11.23 – 2024.11.29
网络安全动态 一周速览 2024.11.23 – 2024.11.29 Sugar Delta Insights 2024-11-29 09:30 网络安全动态 一周速览 2024.11.23 – 2024.11.29 政策更新及合规动态 1.四部门联合印发《电信网络诈骗及其关联违法犯罪联合惩戒办法》 Source:https://www.secrss.com/articl
继续阅读【漏洞通告】Zyxel ZLD防火墙路径遍历漏洞(CVE-2024-11667)
【漏洞通告】Zyxel ZLD防火墙路径遍历漏洞(CVE-2024-11667) 启明星辰安全简讯 2024-11-29 08:44 一、漏洞概述 漏洞名称 Zyxel ZLD防火墙路径遍历漏洞 CVE ID CVE-2024-11667 漏洞类型 目录遍历 发现时间 2024-11-29 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EX
继续阅读【0day漏洞复现】广州和晖科技有限公司本草纲目首营资料审核中台系统存在认证绕过
【0day漏洞复现】广州和晖科技有限公司本草纲目首营资料审核中台系统存在认证绕过 什么安全 什么安全 2024-11-29 08:43 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 产品介绍 广州和晖科技有限公司综合多年来众
继续阅读Android Native内存型漏洞实例
Android Native内存型漏洞实例 原创 OPPO安珀实验室 OPPO安珀实验室 2024-11-29 08:30 前言 本文将结合5例Android安全公告公开的Native历史漏洞实例,分析C/C++内存型漏洞的产生场景,尤其是由C++面向对象特性导致的漏洞场景。 1.缺乏长度校验导致的堆溢出 漏洞信息 编号:CVE-2023-21118 来源:2023年5月安全公告披露 漏洞类型:I
继续阅读edusrc 某中学Swagger接口泄露未授权漏洞挖掘
edusrc 某中学Swagger接口泄露未授权漏洞挖掘 星悦安全 2024-11-29 04:52 一、对目标资产进行信息收集 打开目标网站发现只有一个智慧校园扫码登入、不能直接从登入界面下手,换个思路,先对其指纹和目录扫描均未发现任何有用的信息。 查看API接口,发现该目标存在其他资产 二、对Sping Boot框架进行漏洞利用 发现是Sping Boot框架,使用SpringBoot-Sca
继续阅读【技术分享】关于C-Lodop打印服务文件读取漏洞修复方式
【技术分享】关于C-Lodop打印服务文件读取漏洞修复方式 原创 剁椒Muyou鱼头 剁椒Muyou鱼头 2024-11-29 01:17 阅读须知 本公众号文章皆为网上公开的漏洞,仅供日常学习使用,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把剁椒Mu
继续阅读【漏洞复现】同享TXEHR V15人力管理管理平台信息泄露漏洞
【漏洞复现】同享TXEHR V15人力管理管理平台信息泄露漏洞 原创 清风 白帽攻防 2024-11-29 01:13 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 同享软件成立于1997年,总部位于东莞南城南新产业国际。公司致力于研发和推广人力资源信息化产
继续阅读