一次JS接口到通用信息泄露漏洞
一次JS接口到通用信息泄露漏洞 宓湫 UF安全团队 2024-11-22 12:22 经典登入框 开局熟悉经典登入框: 常规sql,xss,万能密码,弱口令,逻辑等等尝试无果 findsomething :打开插件看看匹配到的js接口 当然这里js相关工具建议使用findsomething以及Packer-Fuzzer-master等综合利用去重在进行拼接等操作 JS对抗 拿到上面的js接口,先直
继续阅读标签: 复现
漏洞盒子特供服务:组建“白帽全明星红队”,企业攻防演练定向“星”选择
漏洞盒子特供服务:组建“白帽全明星红队”,企业攻防演练定向“星”选择 诸葛象 FreeBuf 2024-11-22 11:30 “网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”近几年攻防演练趋向常态化,受到各行各业的高度重视,快速成为检验和持续促进企业安全水平的常规手段。 然而面对的紧迫攻防形势,安全厂商可支配的红队(攻击队)资源有限, 具有丰富实战经验的优秀红队人才往往 供不应求, 而不
继续阅读【安全圈】麻省理工发布2024年最危险的漏洞TOP 25
【安全圈】麻省理工发布2024年最危险的漏洞TOP 25 安全圈 2024-11-22 11:04 关键词 安全漏洞 麻省理工学院(MITRE)收集、分析了2023年6月至2024年6月之间披露3.1万个漏洞,并发布了2024年最危险的软件漏洞TOP 25名单。 该名单可以帮助企业评估企业基础设施的安全情况,MITRE表示:“如果企业的基础设施涉及相关的漏洞弱点,就可能受到未知黑客的攻击,包括全完
继续阅读【安全圈】AI自动挖洞不是梦,谷歌AI工具OSS-FASZ又发现26个开源漏洞
【安全圈】AI自动挖洞不是梦,谷歌AI工具OSS-FASZ又发现26个开源漏洞 安全圈 2024-11-22 11:04 关键词 安全漏洞 谷歌透露,其基于人工智能的模糊工具OSS-Fuzz 已被用于帮助识别各种开源代码库中的26个漏洞,包括 OpenSSL 加密库中的一个中度漏洞。这一事件代表了自动化漏洞发现的一个里程碑:每个漏洞都是使用AI发现的,利用AI生成和增强的模糊测试目标。 提到的Op
继续阅读Src漏洞挖掘-拼出来的严重漏洞
Src漏洞挖掘-拼出来的严重漏洞 Z2O安全攻防 2024-11-22 09:42 No.0 前言 挖洞就是要多思考,我是爱思考的张三,给大家分享一个严重漏洞的挖掘思路。 ,我是 No.2 实战过程 1、A站点重置密码处需要提供账号即学号,以及姓名,接下来需要信息收集到姓名,学号,以及后面会用到的手机号。 2、主站SSO重置密码输入工号即学号,通过信息收集到证书站学号 语法,site:xxx.ed
继续阅读【漏洞通告】NVIDIA Base Command Manager身份验证缺失漏洞(CVE-2024-0138)
【漏洞通告】NVIDIA Base Command Manager身份验证缺失漏洞(CVE-2024-0138) 启明星辰安全简讯 2024-11-22 08:48 一、漏洞概述 漏洞名称 NVIDIA Base Command Manager身份验证缺失漏洞 CVE ID CVE-2024-0138 漏洞类型 身份验证缺失 发现时间 2024-11-22 漏洞评分 9.8 漏洞等级 高危
继续阅读九思OA dl.jsp 任意文件读取漏洞复现及POC
九思OA dl.jsp 任意文件读取漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-11-22 08:43 FOFA body="/jsoa/login.jsp" 漏洞复现 将payload进行base64编码 POC POST /jsoa/dl.jsp?JkZpbGVOYW1lPS4uLy4uLy4uL1dFQi1JTkYvd2ViLnhtb
继续阅读宏景eHR uploadLogo.do 任意文件上传漏洞
宏景eHR uploadLogo.do 任意文件上传漏洞 Superhero nday POC 2024-11-22 08:16 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致
继续阅读什么!这条PoC/EXP的作者竟是?
什么!这条PoC/EXP的作者竟是? 原创 Chili GobySec 2024-11-22 08:00 不知道有没有细心的师傅发现,在今天我们的例行更新的漏洞列表中,有个漏洞被打上了一个神秘的标签。 想必大家已经猜到了,这条是首个由Goby安全社区的新成员—AI Bot所创作编写的PoC/EXP。给Goby提交过漏洞的同学都知道,每一个Goby的漏洞上线,都需要经过层层审核,不止是PoC的检测逻
继续阅读7zip 远程代码执行漏洞预警,需手动更新
7zip 远程代码执行漏洞预警,需手动更新 二道情报贩子 2024-11-22 07:10 7-zip zstandard 解压缩整数下溢远程代码执行漏洞 CVE 编号 CVE-2024-11477漏洞 CVSS 评分 7.8 漏洞详情 此漏洞允许远程攻击者在受影响的 7-Zip 安装上执行任意代码。要利用此漏洞,需要与此库交互,但攻击媒介可能因实施而异。 具体缺陷存在于 Zstandard 解压
继续阅读某微信万能门店小程序系统存在前台SQL注入漏洞
某微信万能门店小程序系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2024-11-22 03:42 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 █ 远山起风又起雾 无人知我来时路 █ 万能门店小程序DIY建站无限独立版非微擎应用,独立版是基于国内很火的ThinkPHP5框架开发的,适用于各行各业小程序、企业门店小程序! 万能门店微信小程序不限制小程序生成数量,支持多页面,
继续阅读从 OSWE 视角看 Web 安全:超越常规,直击代码核心漏洞
从 OSWE 视角看 Web 安全:超越常规,直击代码核心漏洞 安全牛课堂 2024-11-22 03:30 现代 Web 应用程序构建于多层技术架构之上,涵盖前端的 HTML、CSS 和 JavaScript,后端的多种服务器端编程语言(例如 PHP、Java、.NET 等)以及数据库管理系统。 各组件间的交互错综复杂,为攻击者创造了众多可乘之机。 例如: 前端 JavaScript 代码若存在
继续阅读【漏洞复现】某平台-AdjustWorkHours-sql注入漏洞
【漏洞复现】某平台-AdjustWorkHours-sql注入漏洞 原创 南极熊 SCA御盾 2024-11-22 03:02 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直
继续阅读【成功复现】英雄联盟手游狼人被动超级加速漏洞
【成功复现】英雄联盟手游狼人被动超级加速漏洞 阿乐你好 2024-11-22 02:43 网安引领时代,弥天点亮未来 **** 0x00故事是这样的 1.先说一下 沃里克祖安怒兽(狼人)技能2:鲜血追猎的 被动效果 标记生命值低于50%的敌方英雄,向标记目标移动时获得40%移动速度,在攻击生命值低于50%的任何敌人时获得60%攻击速度。若目标生命值低于35%,加成效果提升至其数值的150%。 2.
继续阅读SD-WebUI未公开的0Day漏洞
SD-WebUI未公开的0Day漏洞 原创 ki9mu OneTS安全团队 2024-11-22 02:00 点击蓝字 关注我们 声明 本文属于OneTS安全团队成员ki9mu的原创文章,转载请声明出处!本文章仅用于学习交流使用,因利用此文信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,OneTS安全团队及文章作者不为此承担任何责任。 SD-WebUI介绍 Stable Diffusi
继续阅读上周关注度较高的产品安全漏洞(20241111-20241117)
上周关注度较高的产品安全漏洞(20241111-20241117) 中国电信安全 2024-11-22 01:22 一、境外厂商产品漏洞 1、Google Pixel越界读取漏洞 Google Pixel是美国谷歌(Google)公司的一款智能手机。Google Pixel存在越界读取漏洞,该漏洞源于缺少边界检查,攻击者可利用该漏洞越界读取本地信息。 参考链接: https://www.cnvd.
继续阅读【漏洞复现】九思OA dl任意文件读取漏洞
【漏洞复现】九思OA dl任意文件读取漏洞 原创 清风 白帽攻防 2024-11-22 01:07 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 九思OA产品由北京九思协同软件有限公司(简称九思软件)研发,专为企事业单位和政府机关提供高端协同办公解决方案,助
继续阅读唯徳知识产权管理系统WSFM.asmx接口处存在任意文件上传漏洞【漏洞复现|附nuclei-POC】
唯徳知识产权管理系统WSFM.asmx接口处存在任意文件上传漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2024-11-22 00:32 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 唯徳知识产权管理系统WSFM.asmx接口
继续阅读46套.NET系统漏洞威胁情报(11.22更新)
46套.NET系统漏洞威胁情报(11.22更新) 专攻.NET安全的 dotNet安全矩阵 2024-11-22 00:20 46 某克医疗系统SQL注入漏洞 46.1 漏洞概述 某 克电子技术有限公司医疗急救管理系统存在SQL注入漏洞。 该应用的***Service存在SQL注入漏洞。 POST /a**/****vice.asmx HTTP/1.1 X-Requested-With: XMLH
继续阅读渗透测试案例 | 证书站学校漏洞挖掘(二)
渗透测试案例 | 证书站学校漏洞挖掘(二) 原创 零 Code4th安全团队 2024-11-22 00:15 本文由团队师傅[零]授权并发布 想必 有很多师傅都尝试过挖掘Edu src的证书站学校,这次由另外一个师傅分享证书站的捡洞经验。 首先通过信息收集拿到了一个网站,页面如下 登录一下试试,抓包如下显示用户不存在 用户不存在,呵呵,开工挖掘(狗头 哟呵,怎么不说用户不存在了,继续安排,掏出祖
继续阅读漏洞预警 | 电信网关配置管理系统任意文件上传漏洞
漏洞预警 | 电信网关配置管理系统任意文件上传漏洞 浅安 浅安安全 2024-11-22 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 电信网关配置管理系统是一个用于管理和配置电信网络中网关设备的软件系统。它可以帮助网络管理员实现对网关设备的远程监控、配置、升级和故障排除等功能,从而确保网络的正常运行和高效性能。 0x03
继续阅读2023年最常被利用的漏洞(文末附下载)
2023年最常被利用的漏洞(文末附下载) 计算机与网络安全 2024-11-21 23:57 进网络安全行业群 微信公众号 计算机与网络安全 回复 行业群 本文提供了由创作机构收集和汇编的关于2023年恶意网络行为者常规和频繁利用的常见漏洞和暴露(CVE)及其相关的常见弱点列举(CWE)的详细信息。与2022年相比,恶意网络行为者在2023年利用了更多零日漏洞来危害企业网络,使他们能够针对高优先
继续阅读【未公开】安科瑞企业用电监控预警系统存在SQL注入漏洞
【未公开】安科瑞企业用电监控预警系统存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-21 23:04 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **安科瑞现有研发工程技术人才500多人,聚焦用户侧能效系统和能源互联网,具备从云平台软件到终端元器件的一站式服务能力,形成了“云-边-端”的能源互联网生态体系,目前已有1
继续阅读迫切需要优先考虑移动安全
迫切需要优先考虑移动安全 原创 铸盾安全 河南等级保护测评 2024-11-21 16:01 现代企业的移动性远超以往。自带设备 (BYOD) 和公司所有、个人启用 (COPE)、混合工作和企业移动性计划等趋势正在加速发展,使移动设备能够以前所未有的方式访问和与企业数据系统交互。据 Verizon 称,超过一半 (55%) 的组织拥有比 12 个月前更多的移动设备用户,而 Zimperium 声称
继续阅读漏洞管理工具 — miscan(11月22日更新)
漏洞管理工具 — miscan(11月22日更新) mifine666 Web安全工具库 2024-11-21 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权
继续阅读【漏洞预警】Ubuntu needrestart权限提升漏洞CVE-2024-48990
【漏洞预警】Ubuntu needrestart权限提升漏洞CVE-2024-48990 cexlife 飓风网络安全 2024-11-21 13:54 漏洞描述: needrestart是Ubuntu和其他基于Debian的Linux发行版中常用的一个工具,主要用于检测系统中是否有需要重启的服务或内核模块,它在软件包更新后运行,帮助管理员识别哪些服务或进程需要重新启动以使更新生效,Ubuntu
继续阅读关键的 Windows漏洞使数百万台服务器面临攻击
关键的 Windows漏洞使数百万台服务器面临攻击 BaizeSec 白泽安全实验室 2024-11-21 12:55 一、事件概述 Kerberos协议最初由麻省理工学院(MIT)在1980年代开发,目的是为了提供一个安全的身份验证机制,特别是在分布式计算环境中。它通过使用密钥分发中心(KDC)和基于凭证的认证机制,确保了用户身份的安全性和网络通信的保密性。从Windows 2000开始,微软在
继续阅读Ubuntu系统软件中的5个漏洞潜藏了10年才被发现
Ubuntu系统软件中的5个漏洞潜藏了10年才被发现 Zicheng FreeBuf 2024-11-21 11:02 Ubuntu系统中的实用程序 needrestart 近日被曝出存在5个本地权限提升 (LPE) 漏洞,这些漏洞不是最近才产生,而是已经潜藏了10年未被发现。 这些漏洞由 Qualys 发现,并被跟踪为 CVE-2024-48990、CVE-2024-48991、CVE-2024
继续阅读【安全圈】Ubuntu系统软件中的5个漏洞潜藏了10年才被发现
【安全圈】Ubuntu系统软件中的5个漏洞潜藏了10年才被发现 安全圈 2024-11-21 11:00 关键词 安全漏洞 Ubuntu系统中的实用程序 needrestart 近日被曝出存在5个本地权限提升 (LPE) 漏洞,这些漏洞不是最近才产生,而是已经潜藏了10年未被发现。 这些漏洞由 Qualys 发现,并被跟踪为 CVE-2024-48990、CVE-2024-48991、CVE-20
继续阅读竟长达10年未发现?Ubuntu系统“needrestart”工具曝5个本地提权漏洞
竟长达10年未发现?Ubuntu系统“needrestart”工具曝5个本地提权漏洞 看雪学苑 看雪学苑 2024-11-21 10:09 近日,Ubuntu系统中的“needrestart”实用程序被曝出存在5个本地权限提升(LPE)漏洞,这些安全缺陷已潜伏10年之久未被发现。这些漏洞由安全公司Qualys发现,并被分配了CVE编号,从2014年4月的Needrestart 0.8版本中引入,直
继续阅读