记一次实战小程序漏洞测试到严重漏洞
记一次实战小程序漏洞测试到严重漏洞 点击关注→_→ 黑客白帽子 2024-11-09 13:35 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ **【公告241027】回复关键字没有回复,如何获取方法**** 记录一次从小程序静态分析+动态调试获取到严重漏洞的过程 前言 本文记录了最近的一次src漏洞挖掘,并成功
继续阅读标签: 复现
中间件安全|WebLogic漏洞汇总
中间件安全|WebLogic漏洞汇总 原创 Cyb3rES3 Cyb3rES3c 2024-11-09 13:02 0x0声明 由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人承担,Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知,我们将立即删除相关内容并致歉。请遵守《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规。 0x1
继续阅读黑客可利用系统漏洞访问马自达车辆控制系统
黑客可利用系统漏洞访问马自达车辆控制系统 李白你好 2024-11-09 12:03 免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1► 前言 黑客可以利用马自达信息娱乐系统中的严重漏洞,其中包括一个允许通过 USB 执行代
继续阅读一款简单好用的漏洞管理工具-miscan
一款简单好用的漏洞管理工具-miscan mifine666 鹏组安全 2024-11-09 11:49 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 漏洞管理工具 漏洞管理工具,支持漏洞管理、漏洞扫描、发包测试功能。编写本工具的目的在于帮助安全人员更方便更高效的编写漏洞规则,以方便漏洞利用和漏洞验证。 关于工具的特殊规则 工具其实越简单越好,但为了方便使用,还是有以下几点规则需要了
继续阅读一款Burpsuite自动化检测越权 未授权漏洞插件(更新至2024.8)|漏洞探测
一款Burpsuite自动化检测越权 未授权漏洞插件(更新至2024.8)|漏洞探测 LemonSec 2024-11-09 09:13 0x01 工具介绍 瞎越 (xia_Yue) 是一款针对 Burp Suite 的插件,主要用于测试权限越权和未授权访问。该插件可以有效比较请求和响应的数据大小,返回状态指示与原始数据一致性。其主要功能包括优化 URL 显示、避免重复发送相同数据包、用户界面友
继续阅读简约风-tomcat漏洞批量弱口令检测、后台部署war包getshell
简约风-tomcat漏洞批量弱口令检测、后台部署war包getshell LemonSec 2024-11-09 09:13 1► 工具介绍 简约风-tomcat漏洞批量弱口令检测、后台部署war包getshell,该脚本用于检查Apache Tomcat管理页面的弱密码,并尝试通过上传自定义WAR包部署Godzilla Webshell。如果成功,将记录成功登录的信息以及获取到的Webshell
继续阅读「漏洞复现」用友U8 Cloud service/approveservlet SQL注入漏洞
「漏洞复现」用友U8 Cloud service/approveservlet SQL注入漏洞 冷漠安全 冷漠安全 2024-11-09 09:04 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读趋势科技披露多款马自达车型的信息娱乐系统漏洞,可能导致黑客攻击
趋势科技披露多款马自达车型的信息娱乐系统漏洞,可能导致黑客攻击 会杀毒的单反狗 军哥网络安全读报 2024-11-09 09:00 导读 趋势科技零日计划 (ZDI) 警告称,多款马自达车型的信息娱乐系统存在漏洞,可能允许攻击者以 root 权限执行任意代码。 ZDI 解释称,这些问题存在的原因是,马自达 Connect 连接主单元 (CMU) 系统没有正确清理用户提供的输入,这可能允许实际存在的
继续阅读马自达信息娱乐系统存在零日漏洞,汽车面临接管攻击
马自达信息娱乐系统存在零日漏洞,汽车面临接管攻击 原创 很近也很远 网络研究观 2024-11-08 23:59 趋势科技零日计划 (ZDI) 的研究人员发现了马自达车载信息娱乐系统 Mazda Connect 中的多个漏洞。 受影响的连接主单元 (CMU) 安装在各种马自达车型上,包括马自达 3(2014 年至 2021 年款),被发现容易受到 SQL 注入、命令注入和代码执行漏洞的攻击,这可能
继续阅读一则SSRF漏洞的故事
一则SSRF漏洞的故事 迪哥讲事 2024-11-08 23:54 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 背景介绍 该项目为一个云银行平台,使银行提供商能够根据他们的描述快速创建、推出和服务贷款和存款产品。 漏洞发现 白帽小哥正在测试的子域有两个权限Admin&am
继续阅读漏洞推送|章管家listUploadIntelligent.htm存在SQL注入漏洞
漏洞推送|章管家listUploadIntelligent.htm存在SQL注入漏洞 小白菜安全 2024-11-08 23:37 漏洞描述 章管家是上海建业信息科技股份有限公司推出的一款针对传统印章风险管理提供的整套解决方案的工具。其系统低版本listUploadIntelligent.htm存在sql注入漏洞,攻击者可通过该漏洞获取数据库敏感信息,请及时联系厂商修复。 资产信息 fofa:ap
继续阅读WordPress Time Clock插件存在远程代码执行漏洞CVE-2024-9593 附POC
WordPress Time Clock插件存在远程代码执行漏洞CVE-2024-9593 附POC 2024-11-8更新 南风漏洞复现文库 2024-11-08 20:36 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. WordP
继续阅读【安全圈】马自达车载信息娱乐系统 (IVI) 中的多个漏洞
【安全圈】马自达车载信息娱乐系统 (IVI) 中的多个漏洞 安全圈 2024-11-08 19:00 关键词 安全漏洞 在多款车型(如 2014-2021 年款马自达 3)上安装的马自达 Connectivity Master Unit (CMU) 系统中发现了多个漏洞。与许多情况一样,这些漏洞是由于在处理攻击者提供的输入时未进行充分的消毒而造成的。实际存在的攻击者可以通过将特制的 USB 设备(
继续阅读高通芯片0Day漏洞事件分析及安全建议
高通芯片0Day漏洞事件分析及安全建议 栗栗 安全419 2024-11-08 18:28 10月,高通公司(Qualcomm)发布安全警告,称其多达64款芯片组中存在严重漏洞,由于首次被发现时已存在被利用的可能,因此归类于“零日漏洞”,被标识为CVE-2024-43047,CVSS评分为7.8。安全419聚焦汽车安全领域,与多家网安厂商和车企对话,透过高通零日漏洞事件,了解业内对车联网安全的见解
继续阅读《中国信息安全》| 基于能力成熟度模型的车联网漏洞管理探索
《中国信息安全》| 基于能力成熟度模型的车联网漏洞管理探索 开源网安 2024-11-08 17:30 精华观点软件安全开发·漏洞治理 针对车联网企业构建车联网漏洞管理能力成熟度评估模型,将有助于通过模型来推动能力建设,并形成对企业组织及管理能力动态持续改进的工作模式,可针对性地提高漏洞管理水平。 以下为正文 漏洞作为网络安全问题的核心,已引起国家层面的高度关注。 《2022 上半年网络安全漏洞态
继续阅读Xlight FTP Server整数溢出漏洞(CVE-2024-46483)分析与复现
Xlight FTP Server整数溢出漏洞(CVE-2024-46483)分析与复现 原创 烽火台实验室 Beacon Tower Lab 2024-11-08 14:03 漏洞概述 Xlight FTP Server是Xlight FTP公司的一款高性能且易于使用的FTP服务端软件。Xlight FTP Server支持FTP协议和SSH2协议认证,在使用SSH2进行登录认证时,从客户端算法
继续阅读Microsoft SharePoint RCE 漏洞可被利用来破坏公司网络
Microsoft SharePoint RCE 漏洞可被利用来破坏公司网络 胡金鱼 嘶吼专业版 2024-11-08 14:01 最近披露的 Microsoft SharePoint 远程代码执行 (RCE) 漏洞(编号为 CVE-2024-38094)正被用来获取对企业网络的初始访问权限。 CVE-2024-38094 是一个高严重性(CVSS v3.1 评分:7.2)RCE 漏洞,影响 Mi
继续阅读加拿大政府以国家安全为由下令TikTok关闭在加业务;思科工业无线设备曝高危漏洞,未授权者也可获得root权限 | 牛览
加拿大政府以国家安全为由下令TikTok关闭在加业务;思科工业无线设备曝高危漏洞,未授权者也可获得root权限 | 牛览 安全牛 2024-11-08 11:52 击蓝字·关注我们 / aqniu 新闻速览 •加拿大政府以国家安全为由下令TikTok关闭在加业务 •违规收集用户政治倾向等敏感数据,韩国对Meta开出1.11亿元巨额罚 •美军网络司令部试点AI工具成效显著,网络防御能力快速提升
继续阅读「漏洞复现」快递微信小程序系统 httpRequest 任意文件读取漏洞
「漏洞复现」快递微信小程序系统 httpRequest 任意文件读取漏洞 冷漠安全 冷漠安全 2024-11-07 23:34 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读用友U8 Cloud uapbd.refdef.query接口存在SQL注入漏洞 附POC
用友U8 Cloud uapbd.refdef.query接口存在SQL注入漏洞 附POC 2024-11-7更新 南风漏洞复现文库 2024-11-07 23:06 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友U8 Cloud
继续阅读思科满分漏洞可使黑客以root身份运行任意命令
思科满分漏洞可使黑客以root身份运行任意命令 Sergiu Gatlan 代码卫士 2024-11-07 18:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科修复了一个CVSS评分为10分的漏洞 (CVE-2024-20418),它可导致攻击者以 root 权限在为工业无线自动化提供连接的易受攻击的 URWB 访问点上运行命令。 该漏洞位于思科Unified Industria
继续阅读Exp-ToolsV1.3.1更新
Exp-ToolsV1.3.1更新 小白安全工具 2024-11-06 22:44 微信公众号:[小白安全工具] 分享安全工具与安全漏洞。问题或建议,请公众号留言。该开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任。 Exp-Tools 1.3.1 简介 该工具使用了ExpDemo-JavaFX项目,保留了核心的数据包请求接口,使用j
继续阅读【漏洞预警】泛微E-Cology QRcodeBuildAction SQL注入漏洞
【漏洞预警】泛微E-Cology QRcodeBuildAction SQL注入漏洞 cexlife 飓风网络安全 2024-11-05 23:08 漏洞描述:泛微E-Cology QRcodeBuildAction SQL注入漏洞细节已经于互联网公开,由于泛微E-Cology9 weaver.formmode.servelt.QRcodeBuildAction接口未对用户传入的数据进行严格的校验
继续阅读用友NC Cloud service/esnserver接口存在任意文件上传漏洞 附POC
用友NC Cloud service/esnserver接口存在任意文件上传漏洞 附POC 2024-11-5更新 南风漏洞复现文库 2024-11-05 22:47 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友NC Cloud
继续阅读漏洞推送|美特CRM sync_emp_weixin存在反序列化漏洞
漏洞推送|美特CRM sync_emp_weixin存在反序列化漏洞 小白菜安全 2024-11-05 20:55 漏洞描述 MetaCRM的sync_emp_weixin存在反序列化漏洞,可被恶意攻击者利用执行任意命令,进而控制服务器系统。 资产信息 fofa:body=”/common/scripts/basic.js” 漏洞复现 POC GET /weixin/adm
继续阅读用户名太长的坏处:Okta 修复认证绕过漏洞
用户名太长的坏处:Okta 修复认证绕过漏洞 Darkreading 代码卫士 2024-11-05 18:29 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Okta 修复了一个认证绕过漏洞,影响拥有长用户名或长域名的用户。 该漏洞可导致犯罪分子仅通过一个用户名就通过 Okta 公司的 AD/LDAP 授权验证。不过,只有当满足了一系列条件时,该漏洞才会被利用。其中一个条件是用户名为52
继续阅读Wi-Fi测试套件漏洞入侵商用路由器 背后原因剖析
Wi-Fi测试套件漏洞入侵商用路由器 背后原因剖析 原创 青山 安全419 2024-11-05 17:55 近期,网络安全领域再次敲响警钟,一个影响Wi-Fi测试套件的高危漏洞被公开,编号为CVE-2024-41992。这一漏洞允许未经验证的本地攻击者通过发送特制数据包,在特定路由器上执行任意代码,并获取最高级别的root权限。令人担忧的是,这一本应仅用于测试环境的工具,却被发现部署在了
继续阅读首次利用大模型发现内存安全零日漏洞 (附大模型挖洞经验)
首次利用大模型发现内存安全零日漏洞 (附大模型挖洞经验) 安全内参编译 安全内参 2024-11-05 17:45 关注我们 带你读懂网络安全 图:Daniel Falcao via Unsplash 谷歌Project Zero与 DeepMind合作,使用大模型成功发现了现实项目中的零日漏洞,并发现当前的大模型擅长发现已知漏洞变种,而非开放式的未知漏洞挖掘。 前情回顾·大模型网络攻击能力动态
继续阅读【漏洞预警】Ollama-大语言模型和机器学习框架多个漏洞
【漏洞预警】Ollama-大语言模型和机器学习框架多个漏洞 cexlife 飓风网络安全 2024-11-04 22:44 漏洞描述: Ollama是一个功能强大、易于使用且支持多种大型语言模型和机器学习框架的开源框架,它极大地简化了大型语言模型在本地部署和管理的过程,为研究和开发人员提供了极大的便利,Ollama中被披露存在多个安全漏洞,导致攻击者可通过HTTP请求执行恶意操作,从而可能造成拒绝
继续阅读Opera 浏览器中的 CrossBarking 漏洞允许恶意扩展程序劫持用户帐户
Opera 浏览器中的 CrossBarking 漏洞允许恶意扩展程序劫持用户帐户 原创 星空浪子 星空网络安全 2024-11-04 22:14 Chrome 商店中的 Puppy 主题扩展程序跨越 Opera 界限并利用了 0-Day 漏洞 | 图片来源:Guardio Labs Guardio Labs 发现了 Opera 浏览器的一个严重安全漏洞,称为“CrossBarking”,该漏洞允
继续阅读