渗透测试小练习(1)尝试一个图形验证码绕过的复现
渗透测试小练习(1)尝试一个图形验证码绕过的复现 原创 catfish 透明魔方 2024-12-11 11:30 今天一起练习一个好玩简单的东东——尝试一下图形验证码绕过的复现。 图形验证码一般在登录处都会有,所以这招我感觉可以一招鲜吃遍天。 反正都快速试一下,说不定就挖个小低危,对于刚入行还未独立开始测试的工程师来说掌握一下也不错的。 这个测试点主要是看图形验证码是不是重复有效的,比如我们指定
继续阅读标签: 复现
涉及72个漏洞!微软发布12月补丁日安全通告
涉及72个漏洞!微软发布12月补丁日安全通告 你信任的 亚信安全 2024-12-11 10:58 近日,亚信安全CERT监测到微软12月补丁日发布了针对72个漏洞的修复补丁。其中,16个漏洞被评为紧急,1个漏洞被评为高危,54个漏洞被评为重要,1个漏洞被评为中等,其中共包括27个特权提升漏洞,31个远程代码执行漏洞,5个拒绝服务漏洞,7个信息泄漏漏洞,2个欺骗漏洞。本月16个漏洞被评为紧急,分别
继续阅读Microsoft 12月 CVE 漏洞预警
Microsoft 12月 CVE 漏洞预警 网新安服 2024-12-11 10:30 点击上方蓝字关注我们,获取最新消息 1 基本情况 12 月份,Microsoft 发布了 72 个漏洞补丁,解决了 Windows 和 Windwos组件、 Microsoft Office 和 Office 组件、SharePoint、Hyper-V、Defender for Endpoint、System
继续阅读【工具分享】Nuclei GUI 管理工具(附12W+poc)
【工具分享】Nuclei GUI 管理工具(附12W+poc) 原创 红岸基地赵小龙 暗影网安实验室 2024-12-11 09:20 工具简介 由于找不到好用的 POC 管理器,便自行开发,目前仅提供安装包下载。 功能介绍 实现功能: Nuclei POC 管理桌面应用,支持模版的增删查改操作 支持 Nuclei 扫描、多任务并行扫描 查看 Nuclei 模版请求和响应包 自定义 Nuclei
继续阅读【漏洞通告】Ivanti Cloud Services Application身份验证绕过漏洞(CVE-2024-11639)
【漏洞通告】Ivanti Cloud Services Application身份验证绕过漏洞(CVE-2024-11639) 启明星辰安全简讯 2024-12-11 07:39 一、漏洞概述 漏洞名称 Ivanti Cloud Services Application身份验证绕过漏洞 CVE ID CVE-2024-11639 漏洞类型 身份验证绕过 发现时间 2024-12-11 漏
继续阅读【漏洞通告】微软12月多个安全漏洞
【漏洞通告】微软12月多个安全漏洞 启明星辰安全简讯 2024-12-11 07:39 一、漏洞概述 2024年12月11日,启明星辰集团VSRC监测到微软发布了12月安全更新,本次更新共修复了71个漏洞(不包括之前修复的Edge漏洞),漏洞类型包括特权提升漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。 本次安全更新中修复了1个已经公开披露且已发现被积极利用的0 day漏洞: C
继续阅读2024年12月微软补丁日多个高危漏洞安全风险通告
2024年12月微软补丁日多个高危漏洞安全风险通告 嘉诚安全 2024-12-11 07:35 漏洞背景 近日,嘉诚安全监测到Microsoft官方发布了12月份的安全更新公告,共修复了72个漏洞,修复了Windows通用日志文件系统、Windows轻量级目录访问协议(LDAP)、Windows远程桌面服务等产品中的漏洞。 鉴于漏洞危害较大,嘉诚安全提醒广大Microsoft用户尽快下载补丁更新,
继续阅读Nuclei|图形化|轻量化刷漏洞神器|11000+poc
Nuclei|图形化|轻量化刷漏洞神器|11000+poc 海底天上月 海底生残月 2024-12-11 06:29 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底生残月及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 海底生残月 “ 设为星标 ”, 否则可能就看不到了啦
继续阅读CVE-2019-13288复现笔记及其国产化pdf生成挖掘
CVE-2019-13288复现笔记及其国产化pdf生成挖掘 原创 秋风 秋风的安全之路 2024-12-11 06:11 CVE-2019-13288复现 简述在 Xpdf 4.01.01 中 Parser.cc 中的 Parser::getObj() 函数可能会通过精心设计的文件导致无限递归 远程攻击者可以利用它进行 DoS 攻击 Download and build your target&
继续阅读防火墙服务配置漏洞波及多家全球财富100强公司
防火墙服务配置漏洞波及多家全球财富100强公司 天唯科技 天唯信息安全 2024-12-11 03:17 据Cyber Security News消息,网络安全研究团队 Zafran 最近在 Web 应用程序防火墙 (WAF) 服务配置中发现了一个被称为“BreakingWAF”的安全漏洞,该漏洞容易让许多财富 100强、1000强的公司受到网络攻击。 该漏洞影响到一些最主流的 WAF 提供商,包
继续阅读微软12月补丁日多个产品安全漏洞风险通告:1个在野利用、17个紧急漏洞
微软12月补丁日多个产品安全漏洞风险通告:1个在野利用、17个紧急漏洞 奇安信 CERT 2024-12-11 01:25 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年12月补丁日多个产品安全漏洞 影响产品 Windows 通用日志文件系统、Windows 轻量级目录访问协议 (LDAP)、Windows 远程桌面服务等。 公开时间 2024-12-11 影响
继续阅读【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第一篇-驱动漏洞一击致命
【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第一篇-驱动漏洞一击致命 原创 索勒安全团队 solar应急响应团队 2024-12-11 01:02 引言:在之前的文章【成功案例】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附溯源分析报告中,我们提到,尽管许多企业已经部署了众多安全设备和备份解决方案,并建立了相对成熟的安全运营体系,但在如此复杂的网络环境中,依然存在漏洞,导致
继续阅读Ivanti 警告最高严重程度的 CSA 身份验证绕过漏洞
Ivanti 警告最高严重程度的 CSA 身份验证绕过漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-11 01:00 导读 Ivanti 向客户发出警告,称其云服务设备 (CSA) 解决方案中存在一个新的最高严重性身份验证绕过漏洞。 该安全漏洞编号为 CVE-2024-11639,由 CrowdStrike 高级研究团队报告。 漏洞可使远程攻击者通过使用备用路径或通道绕过身份验证,在运行
继续阅读【未公开1day】某科网威anysec安全网关arping存在远程命令执行漏洞
【未公开1day】某科网威anysec安全网关arping存在远程命令执行漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-10 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **某科网威科技有限公司是一家专注于网络安全产品研发和生产的高新技术企业。凭借多年对用户需求的潜心研究与技术创新,首创基于内核底层技术嵌入式
继续阅读【失败复现】Zabbix SQL注入漏洞(CVE-2024-42327)
【失败复现】Zabbix SQL注入漏洞(CVE-2024-42327) 弥天安全实验室 弥天安全实验室 2024-12-10 16:01 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Zabbix是Zabbix公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix 6
继续阅读一款能够自动化过滤扫描结果的目录扫描工具|漏洞探测
一款能够自动化过滤扫描结果的目录扫描工具|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-12-10 16:00 0x01 工具介绍 平时使用过 dirsearch|dirmap 等一些目录扫描工具,针对如今的 WEB 多样化,对扫描结果的过滤总感觉与预期不符合。因此下定决心造个轮子,就这样有了 dirsx。当时是使用 python 写的,但是可移植性不是很好。所以使用 golang 进行
继续阅读Palo Alto Networks PAN-OS存在远程命令执行漏洞CVE-2024-9474 附POC
Palo Alto Networks PAN-OS存在远程命令执行漏洞CVE-2024-9474 附POC 2024-12-10更新 南风漏洞复现文库 2024-12-10 15:50 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. P
继续阅读(未公开)灵当CRM某接口存在文件读取漏洞
(未公开)灵当CRM某接口存在文件读取漏洞 原创 WebSec WebSec 2024-12-10 12:21 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! 01
继续阅读「漏洞复现」三汇SMG网关管理软件 SMGSuperAdmin 信息泄露漏洞
「漏洞复现」三汇SMG网关管理软件 SMGSuperAdmin 信息泄露漏洞 冷漠安全 冷漠安全 2024-12-10 12:13 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读【安全圈】防火墙服务配置漏洞波及多家全球财富100强公司
【安全圈】防火墙服务配置漏洞波及多家全球财富100强公司 安全圈 2024-12-10 11:01 关键词 安全漏洞 据Cyber Security News消息,网络安全研究团队 Zafran 最近在 Web 应用程序防火墙 (WAF) 服务配置中发现了一个被称为“BreakingWAF”的安全漏洞,该漏洞容易让许多财富 100强、1000强的公司受到网络攻击。 该漏洞影响到一些最主流的 WAF
继续阅读QNAP修复Pwn2Own大赛利用的多个漏洞
QNAP修复Pwn2Own大赛利用的多个漏洞 Ionut Arghire 代码卫士 2024-12-10 10:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周末,QNAP系统修复在2024年Pwn2Own 爱尔兰大赛中演示的QTS 和 QuTS Hero 中的多个漏洞。 在 Pwn2Own 大赛中,参赛人员因发现QNAP 产品 exp 而获得数万美元的奖励,其中一个exp甚至获得
继续阅读绿盟科技勇夺“强网杯”高阶技术专项赛一等奖,多赛道实现奖项全面突破
绿盟科技勇夺“强网杯”高阶技术专项赛一等奖,多赛道实现奖项全面突破 绿盟科技 M01N Team 2024-12-10 10:00 全文共626字,阅读大约需1分钟。 近日,第八届“强网杯”高阶技术专项赛圆满落幕。作为国内网络安全领域的高水平赛事,本次竞赛聚焦网络安全热点问题,深化人工智能技术创新应用,吸引了全国顶尖的安全团队同场竞技。绿盟科技联合西安交通大学、华中科技大学等团队参赛,在“恶意流量
继续阅读从勒索软件到APT:揭开制造业面临的8大网络安全威胁
从勒索软件到APT:揭开制造业面临的8大网络安全威胁 软件评测中心 2024-12-10 10:00 点击蓝字,关注 “软件评测中心” 超过83%的制造企业在过去一年内遭遇勒索软件攻击,其中26%的企业被迫停产,高达68%的受害者不得不支付赎金……制造业正面临前所未有的网络安全挑战。这不仅凸显了制造业脆弱的网络安全现状,更预示着一场席卷全球制造业的网络风暴正在逼近。 为何制造业安全态势日益严峻?
继续阅读用友U8 CRM ajaxgetborrowdata.php SQL注入漏洞
用友U8 CRM ajaxgetborrowdata.php SQL注入漏洞 Superhero nday POC 2024-12-10 08:54 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读信息安全漏洞周报【第001期】
信息安全漏洞周报【第001期】 零零捌信安观察 银天信息 2024-12-10 06:21 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读黑客利用 ProjectSend 漏洞对暴露的服务器进行后门处理
黑客利用 ProjectSend 漏洞对暴露的服务器进行后门处理 天唯科技 天唯信息安全 2024-12-10 06:07 恶意分子正在利用 ProjectSend 中的一个关键身份验证绕过漏洞的公共漏洞来上传 Webshell 并获得对服务器的远程访问。 该漏洞被追踪为 CVE-2024-11680,是一个严重的身份验证错误,影响 r1720 之前的 ProjectSend 版本,允许攻击者向“
继续阅读[漏洞挖掘与防护] 05.CVE-2018-12613:phpMyAdmin 4.8.1后台文件包含缺陷复现及防御措施
[漏洞挖掘与防护] 05.CVE-2018-12613:phpMyAdmin 4.8.1后台文件包含缺陷复现及防御措施 原创 Eastmount 娜璋AI安全之家 2024-12-10 02:51 24年4月28日是Eastmount的安全星球 —— 『网络攻防和AI安全之家』正式创建和运营的日子,并且已坚持5个月每周7更。该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI
继续阅读【漏洞复现】某平台-Upload-file-upload-aspx任意文件上传漏洞
【漏洞复现】某平台-Upload-file-upload-aspx任意文件上传漏洞 原创 南极熊 SCA御盾 2024-12-10 02:50 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供
继续阅读网络安全知多少【科普】5:找业务本身也可能就是漏洞,就是风险
网络安全知多少【科普】5:找业务本身也可能就是漏洞,就是风险 安小圈 2024-12-10 00:45 安小圈 第563期 网络安全 科普 “ 因此,安全是发展的前提和保障。没有网络安全,就没有国家安全,更谈不上业务安全。” 在当今数字化时代,企业业务的复杂性和多样性不断增加,业务功能的设计与实现成为企业竞争力的关键因素之一。 然而,业务本身及其功能设计往往潜藏着诸多漏洞和安全隐患,这些风险不仅可
继续阅读美国顶级红队演练,只用了个Nday?
美国顶级红队演练,只用了个Nday? 原创 ThreatBook 微步在线 2024-12-10 00:28 前不久,美国网络安全和基础设施安全局 (CISA),对美国关键基础设施行业某组织进行了一次红队演练,以此评估组织的网络安全检测和响应能力。演练期间,红队的渗透路径如下所示。 由于防守方存在诸多偏离了安全基线的配置,并且在策略上忽略了针对网络流量和账户活动的深度检测,因此未能有效限制红队利用
继续阅读