2024最新AWVS/Acunetix Premium v24.1.24高级版漏洞扫描器Windows/Linux下载 原创 城北 渗透安全HackTwo 2024-01-21 08:35 前言 Acunetix Premium 是一种 Web 应用程序安全解决方案,用于管理多个网站、Web 应用程序和 API 的安全。集成功能允许您自动化 DevOps 和问题管理基础架构。 Acunetix P
继续阅读CVE-2023-46226 Apache iotdb远程代码执行漏洞 七彩安全研究院 WIN哥学安全 2024-01-20 22:19 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 项目地址 https://iotdb.apache.o
继续阅读叮~你有新的速递!CVE-2024-0305 RCE漏洞(附EXP) 冯宝宝 哪都通安全 2024-01-20 21:43 0x01 前言 Ncast盈可视高清智能录播系统 存在RCE漏洞 ,攻击者可以利用此漏洞执行任意命令 ,执行任意命令 ,通过该漏洞可以获取服务器权限 。 0x02 影响平台 Ncast 平台 0x03 漏洞复现 搜索语法 icon_hash="-1253433910
继续阅读【复现】Confluence Data Center & Server 远程代码执行漏洞(CVE-2023-22527)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-01-20 21:22 赛博昆仑漏洞安全通告- Confluence Data Center & Server 远程代码执行漏洞(CVE-2023-22527)风险通告 漏洞描述 Confluence
继续阅读CloudPanel makefile接口存在远程命令执行漏洞CVE-2023-35885 附POC软件 南风徐来 南风漏洞复现文库 2024-01-20 21:04 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 大家关注一下我的另外一个公
继续阅读【安全圈】国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报 安全圈 2024-01-20 19:01 关键词 安全漏洞 近日,Oracle官方发布了多个安全漏洞的公告,其中Oracle产品本身漏洞89个,影响到Oracle产品的其他厂商漏洞169个。包括Oracle Financial Services Applications 安全漏洞(CNNVD-202401-1551、CVE-202
继续阅读因 API 的错误配置导致 PII 泄漏漏洞 dandh811 薯条机器猫 2024-01-20 18:51 PII 指个人身份信息(Personally identifiable information) 假定被测目标为:example.com 1. 初步枚举 一旦找到一个我觉得有趣的子域名,dirsearch 就是我立即使用的工具——它是我最喜欢的目录暴力破解工具之一。它的速度非常快,并且使用
继续阅读[1day]泛微系统存在SQL注入漏洞 CodeWarrior 晴天安全 2024-01-20 12:50 0x01 漏洞简述 — 泛微是一款全面的企业协同办公平台,提供了丰富的功能模块,包括流程管理、文档管理、协作办公、移动办公等。它可以帮助企业实现信息共享、团队协作和业务流程的数字化转型,提高工作效率和合作效能。泛微具有灵活的定制能力,可以根据企业的需求进行个性化配置和扩展,适用于各行各业的企
继续阅读【二次更新】Atlassian Confluence Data Center and Server存在远程代码执行漏洞 安恒研究院 安恒信息CERT 2024-01-20 12:02 漏洞概述 漏洞名称 Atlassian Confluence Data Center and Server存在远程代码执行漏洞(CVE-2023-22527) 安恒CERT评级 严重 CVSS3.1评分 10.0 C
继续阅读【Web实战】某头部直辖市攻防演练纪实-如何不用0day打下n个点 黑白之道 2024-01-20 09:48 目录 前言 案例一、某单位shiro绕WAF(利用shiro处理rememberMe字段值的feature) 案例二、某互联网厂商 Apisix绕阿里WAF拿下28个Rce 案例三、某开发商Nacos未授权访问读取配置信息到精准钓鱼进入内网 案例四、某国企-从一个任意文件读取到SSO沦陷
继续阅读Mandiant报告:APT黑客利用VMware漏洞作为0day漏洞攻击长达两年 军哥网络安全读报 2024-01-20 09:01 导读 至少自 2021 年底以来,一个某国黑客组织一直在利用一个关键的 vCenter Server 漏洞 (CVE-2023-34048) 作为 0day 漏洞攻击。 该漏洞已于去年 10 月得到修复,VMware本周三确认( https://www.bleepi
继续阅读CVE-2024-0519:Google Chrome V8越界访问漏洞通告 原创 360CERT 三六零CERT 2024-01-17 19:17 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-647 报告来源:360CERT 报告作者:360CERT 更新日期:2024-01-17 1 漏洞简述 2024年01月17日,360CERT监测发现Google发布了Chrome f
继续阅读漏洞公告 | Ivanti VPN远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-01-17 17:25 01 漏洞概况**** Ivanti Connect Secure,原名Pulse Connect Secure,是一款企业级远程访问解决方案。这个产品主要提供安全远程访问(VPN),多因素认证等功能。 本次漏洞利用链包含两个漏洞,分别为身份验证绕过(CVE-2023-46
继续阅读NetScaler ADC 和 NetScaler Gateway 多个在野漏洞安全风险通告 奇安信 CERT 2024-01-17 16:37 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 NetScaler ADC和NetScaler Gateway 多个在野漏洞 漏洞编号 CVE-2023-6548,CVE-2023-6549 公开时间 2024-01-17 影响量级
继续阅读Oracle 2024年1月补丁日多产品高危漏洞安全风险通告 奇安信 CERT 2024-01-17 16:37 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2024年1月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2024-01-17 影响对象数量级 百万级 奇安信评级 高危 利用可能性
继续阅读立即更新!GitLab曝满分零点击账户劫持漏洞 看雪学苑 看雪学苑 2024-01-15 17:59 1月11日,GitLab发布了一个紧急安全更新,以修复一个CVSS评分10分的零点击账户劫持漏洞。攻击者能够通过密码重置接管受害者账户,并且无需任何用户交互。 据了解,这是 GitLab CE/EE中的一个认证问题,影响从16.1到16.1.6、16.2到16.2.9、16.3到16.3.7、16
继续阅读上周关注度较高的产品安全漏洞(20240108-20240114) 原创 CNVD CNVD漏洞平台 2024-01-15 17:43 一、境外厂商产品漏洞 1、Siemens Solid Edge缓冲区溢出漏洞(CNVD-2024-01409) Solid Edge是一个软件工具组合,可解决各种产品开发过程:3D设计,仿真,制造和设计管理。Siemens Solid Edge存在缓冲区溢出漏洞,
继续阅读GitLab 提醒注意严重的零点击账户劫持漏洞 Bill Toulas 代码卫士 2024-01-15 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 GitLab 发布社区版和企业版的安全更新,修复了两个漏洞,其中一个在无需用户交互的情况下可劫持账户。 GitLab 强烈建议用户尽快更新所有的 DevSecOps 平台易受版本(自托管安装需要手动更新),并提醒称,如果没
继续阅读思科又曝高危漏洞,黑客利用可获取 root 权限 网络安全应急技术国家工程中心 2024-01-15 14:55 近日,思科修补了一个关键的 Unity Connection 安全漏洞,该漏洞可让未经认证的攻击者在未打补丁的设备上远程获得 root 权限。 Unity Connection 是一个完全虚拟化的消息和语音邮件解决方案,适用于电子邮件收件箱、Web 浏览器、Cisco Jabber、C
继续阅读ByteCodeDL能找到log4shell(CVE-2021-44228)漏洞吗 船山信安 2024-01-15 00:01 TL;DR 本文介绍了尝试使用ByteCodeDL、ByteCodeDL-PathFinder、ByteCodeDL-Neo4j-IDEA-Plugin 这些工具去复现log4shell漏洞的挖掘过程。 本文会尝试解决下面几个问题: 1. 节点过多,查不出路径怎么办? 查
继续阅读某OA系统快速代码审计(0day) 探幽安全 2024-01-14 23:45 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 0x00 前言 再一次寻找源码的过程当中,从某网盘搜索到了一个某OA系统,对此进行了一个快速代码审计。 0x01 审计过程 还是一如既往,快速定位出鉴权函数或
继续阅读【漏洞复现】Gitlab任意用户密码重置 原创 Chris 溪琉安全录 2024-01-14 19:52 0x01 前言 2024年1月,GitLab发布安全更新修复了一个任意用户密码重置漏洞,CVE编号为 CVE-2023-7028,原因是 在GitLab发布的16.1.0版本中引入了通过电子邮件找回密码的功能,已经注册的用户输入电子邮件会发送一个带有重置密码链接的邮件,攻击者可以通过构造恶意的
继续阅读【漏洞情报 | 新】用友GRP-U8 ufgovbank XXE漏洞 原创 4Zen 划水但不摆烂 2024-01-14 19:02 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 产品简介 用友GRP-U8是一款企业级的综合管理软件,主要用于财务、人力资源、供应链、生产制造等多个领
继续阅读最新Invicti Professional v24.12漏洞扫描器下载 原创 城北 渗透安全HackTwo 2024-01-14 16:29 前言 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 Invicti Professional Edition 是一款商业 Web
继续阅读GitLab修复了一个严重的零点击账户劫持漏洞 鹏鹏同学 黑猫安全 2024-01-14 11:09 GitLab发布了安全更新,以解决影响社区版和企业版的两个关键漏洞。最严重的漏洞被标记为CVE-2023-7028(CVSS评分10),是通过密码重置进行账户劫持。该漏洞可以在无需任何交互的情况下劫持账户。 GitLab发布的警告中写道:“在GitLab CE/EE的所有版本中,从16.1之前的版
继续阅读CVE-2023-7028 GitLab Account Takeover漏洞分析 原创 chestnut 闲聊趣说 2024-01-14 10:45 前言 没学过ruby代码,其语法和C like语言差的很多,只能通过AI辅助分析,大概也看懂了,喜欢这个文章的话点个赞支持一下。 基本信息 Gitlab中可以通过重置密码接口发送恶意请求,当已知注册邮箱且开启邮箱登录时,攻击者可以获取到重置密码链接
继续阅读【python专题】poc编写过程万能正则获取字符串 原创 南极熊 SCA御盾 2024-01-14 09:44 星球介绍 SCA御盾星球介绍详情请访问如下链接: SCA御盾星球介绍 0x01 阅读须知 SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利
继续阅读GitLab任意用户密码重置漏洞验证脚本 CVE-2023-7028 SecHaven 赛哈文 2024-01-14 08:53 脚本使用方法一: python3 CVE-2023-7028.py -u https://gitlab.example.com -t [email protected] 脚本使用方法二: python3 CVE-2023-7028.py -u https:/
继续阅读afrog漏洞检测工具的官方PoCs库(1月6日更新) zan8in 黑客白帽子 2024-01-14 07:00 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 0x01 工具介绍 afrog-pocs 是 afrog 漏洞检测工具的官方 PoCs(Proof of Concepts)库。这个开源项目旨在为安全研
继续阅读[漏洞复现]CVE-2024-21645 原创 fgz AI与网安 2024-01-14 00:02 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 pyload日志注入漏洞 02 — 漏洞影响 pyload-ng < 0.5.0b3.dev
继续阅读