本周更新:syscall fuzz原理分析 | 系统0day安全-Windows平台漏洞挖掘 看雪课程 看雪学苑 2023-11-21 17:59 本周更新: 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可
继续阅读漏洞通告 | I Doc View在线文档预览系统远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-11-21 17:36 01 漏洞概况**** I Doc View在线文档预览系统是由北京卓软在线信息技术有限公司开发的一套系统,用于在Web环境中展示和预览各种文档类型,如文本文档、电子表格、演示文稿、PDF文件等。微步漏洞团队通过“X 漏洞奖励计划”获取到I Doc View
继续阅读上周关注度较高的产品安全漏洞(20231113-20231119) 国家互联网应急中心CNCERT 2023-11-21 14:25 一、境外厂商产品漏洞 1、Microsoft Office Visio远程代码执行漏洞(CNVD-2023-85905)**** Microsoft Office Visio是美国微软(Microsoft)公司的Office软件系列中的负责绘制流程图和示意图的软件。
继续阅读Reactor Netty HTTP Server 目录遍历漏洞(CVE-2023-34062) 斗象智能安全 2023-11-21 10:25 1.1漏洞概述 近日,斗象科技漏洞情报中心监控到Spring官方发布了Reactor Netty HTTP Server 目录遍历漏洞。 Reactor Netty是基于 Netty 框架提供的非阻塞和支持背压的 TCP/HTTP/UDP/QUIC 客户
继续阅读通过分析JavaScript文件寻找漏洞 Anastasis 迪哥讲事 2023-11-20 22:23 JavaScript在web中起着至关重要的作用,JavaScript文件是web应用程序 的重要组成部分。以下是为什么JavaScript文件在web中很重要的一些重要原因。 交互性:JavaScript使开发人员能够为网页添加交互性和响应性,使其更具吸引力和用户友好性。 动态内容:Java
继续阅读【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-11-20 19:57 漏洞名称: Chromium libxslt XXE漏洞(CVE-2023-4357) 组件名称: Chrome 影响范围: chrome < 116.0.5845.96 漏洞类型: XML外部实体注入 利用条件: 1、用户认证:
继续阅读CVE-2023-4357:Google Chrome 信息泄露漏洞通告 原创 360CERT 三六零CERT 2023-11-20 18:19 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-535 报告来源:360CERT 报告作者:360CERT 更新日期:2023-11-20 1 漏洞简述 2023年11月20日,360CERT监测发现漏洞编号为CVE-2023-4357的
继续阅读人工智能/机器学习工具中存在十几个可利用漏洞 Ionut Arghire 代码卫士 2023-11-20 17:29 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 自2023年8月起,人工智能 (AI) 和机器学习 (ML) 漏洞奖励平台 Huntr 发现了十几个漏洞,可导致AI/ML模型易受系统接管和敏感信息被盗攻击。 Huntr 的管理平台 Protect AI指出,这些漏洞存
继续阅读【已复现】金蝶云星空ScpSupRegHandler任意文件上传漏洞 长亭应急响应 黑伞安全 2023-11-19 18:40 长亭安全应急响应中心 2023-11-16 20:52 发表于 北京 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。2023年11月,互联网上披露金蝶云星空任意文件上传漏洞详情,攻击者可利用该漏洞上传任
继续阅读还是狠炸裂的!Chromium libxslt XXE漏洞(CVE-2023-435) 长亭应急响应 黑伞安全 2023-11-19 18:40 修订:编号为CVE-2023-4357。Chromium 是一个开源的网络浏览器项目,由 Google 主导开发。Chromium 常被用作其他浏览器项目的基础,例如Chrome、 Opera、Brave 和 Microsoft Edge。2023年6月
继续阅读实战 | 记一次简单的漏洞挖掘过程 迪哥讲事 2023-11-17 22:30 分享一下今天对某app进行渗透测试 ,从基础的信息收集到拿到网站的shell。总体来是还是很简单的,也没什么技术含量 使用模拟器挂上代理并对app进行抓包,我们把其域名给拿出来 使用工具对主域名 进行敏感目录扫描,发现存在一个admin的目录 对该目录进行访问,发现存在管理后台,且目前看没有验证码,可以尝试爆破 输入不
继续阅读【已复现】Google Chrome 信息泄露漏洞(CVE-2023-4357)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-11-17 18:47 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome 信息泄露漏洞 漏洞编号 QVD-2023-18926,CVE-2023-4357 公开时间 2023-08-16 影响对象数量级 亿级
继续阅读2023 SDC 议题回顾 | 深入 Android 可信应用漏洞挖掘 原创 2023 SDC 看雪学苑 2023-11-17 18:02 在过去的几年中,可信执行环境(TEE,Trusted Execution Environment)在Android生态系统(智能手机、智能汽车、智能电视等)中实现了普及。TEE 运行独立、隔离的 TrustZone 操作系统,与 Android 并行,保证在A
继续阅读CISA必修清单新增三个漏洞 THN 代码卫士 2023-11-17 17:23 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 美国网络安全和基础设施安全局 (CISA)在“已知已利用漏洞”分类表中新增了三个已遭活跃利用的漏洞。 这三个漏洞是: CVE-2023-36584(CVSS评分5.4):微软 MotW 安全特性绕过漏洞 CVE-2023-1671(CVSS评分9.8):S
继续阅读速修!海康威视综合安防RCE已被用于勒索 原创 微步情报局 微步在线研究响应中心 2023-11-17 15:29 01 漏洞概况**** 近日, 微步监测到有勒索团伙利用海康威视综合安防管理平台文件上传漏洞(XVE-2023-23734)开展大规模勒索攻击。 攻击者利用该漏洞上传Webshell,并随后执行任意命令,对主机上相关文件进行加密,加密后缀为locked1。该漏洞利用成本极低,危害极高
继续阅读金蝶云星空私有云任意文件上传漏洞安全通告 安全内参 2023-11-17 15:20 漏洞概述 漏洞名称 金蝶云星空私有云任意文件上传漏洞 漏洞编号 QVD-2023-44581 公开时间 2023-10-26 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 9.8 威胁类型 代码执行 利用可能性 高 POC状态 已公开 在野利用状态 已发现 EXP状态 已公开 技术细节状态 未公开
继续阅读微软2023年11月补丁日重点漏洞安全预警 原创 安全技术研究院 山石网科安全技术研究院 2023-11-17 14:20 补丁概述 2023年11月14日,微软官方发布了11月安全更新,针对63个 Microsoft CVE 和15个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含3个严重漏洞(Critical)、56个重要漏洞(Important)和4个 中
继续阅读ChatGPT 的新代码解释器存在重大漏洞,用户数据可被盗 Avram Piltch 代码卫士 2023-11-16 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 ChatGPT 最近新增的 Code Interpreter (代码解释器),让用AI 编写 Python 代码变得更加强大,因为它真的在写代码并在沙箱环境下运行。遗憾的是,也用于处理用户要求 ChatGPT
继续阅读漏洞通告 | 金蝶云星空任意文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2023-11-16 15:56 01 漏洞概况**** 金蝶云星空是由金蝶国际软件集团开发的一款企业级云平台。它是金蝶云服务的核心产品,旨在为企业提供全面的云计算解决方案,支持企业的数字化转型和业务创新。微步漏洞团队通过“X 漏洞奖励计划”获取到金蝶云星空任意文件上传漏洞情报。攻击者可利用该漏洞上传恶意代码,获取服
继续阅读助攻黑客的严重漏洞?不符合GOOGLE的威胁模型,不予解决! 网络安全应急技术国家工程中心 2023-11-16 15:17 Bitdefender研究人员11月15日撰文,揭露了Google Workspace中的新漏洞,这个漏洞可能导致勒索软件攻击、数据泄露和口令解密。研究人员表示,这些方法还可以用于通过自定义权限访问谷歌云平台(GCP),并且可以在机器之间横向移动。然而,Bitdefende
继续阅读漏洞调试的捷径:精简代码加速分析与利用 路人丁 GobySec 2023-11-16 14:00 G o b y 社 区 第 36 篇 技 术 分 享 文 章 全 文 共 : 5053 字 预 计 阅 读 时 间 : 13 分 钟 01 前言 近期,Microsoft威胁情报团队曝光了DEV-0950(Lace Tempest)组织利用SysAid的事件。 随后,SysAi d安全团队迅速启动了应
继续阅读支付平台漏洞遭利用!犯罪团伙通过AI换脸盗刷他人医保卡 安全内参 2023-11-16 10:47 关注我们 带你读懂网络安全 重庆警方破获利用AI换脸盗刷他人医保卡案。 随着人工智能技术的迅猛发展 不法分子的犯罪手段也越来越科技化 利用“AI换脸”“AI换声” 等手段 进行违法犯罪的行为 屡见不鲜 REC 2023 年 4 月 18 日 重庆某医院医生到石油路派出所报案称 当天其正在手术室做手
继续阅读2023-11 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2023-11-15 18:06 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-526 报告来源:360CERT 报告作者:360CERT 更新日期:2023-11-15 1 漏洞简述 2023年11月15日,360CERT监测发现Microsoft发布了2023年11月安全更新,事件等级:
继续阅读初级篇已更新完毕!CVE复现漏洞精讲-从基础到入门 看雪课程 看雪学苑 2023-11-15 18:00 想要成为一名优秀的漏洞挖掘工程师吗? 想要掌握CVE复现能力,提升自己的实战能力吗? 想要深入了解IoT、v8、Windows等多类型漏洞挖掘基础知识和实操吗? 《CVE复现漏洞精讲-从基础到入门》带你走进漏洞挖掘的世界。 如果你想要提升自己的漏洞挖掘能力,接着往下看! 课程简介 本课程属于体
继续阅读“奇怪的”高危Reptar CPU 漏洞影响 Intel 桌面和服务器系统 Sergiu Gatlan 代码卫士 2023-11-15 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Intel(英特尔)修复了位于现代桌面、服务器、手机和嵌入式CPU(包括最新的 Alder Lake、Raptor Lake 和 Sapphire Rapids 微架构)中的一个高危CPU
继续阅读2023-11微软漏洞通告 火绒安全 火绒安全 2023-11-15 16:53 微软官方发布了2023年11月的安全更新。本月更新公布了83个漏洞,包含18个远程执行代码漏洞、18个特权提升漏洞、11个身份假冒漏洞、6个信息泄露漏洞、6个安全功能绕过漏洞、5个拒绝服务漏洞,其中3个漏洞级别为“Critical”(高危),57个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/
继续阅读已复现Office RCE!微软11月补丁日重点漏洞解读 原创 微步情报局 微步在线研究响应中心 2023-11-15 15:15 1 概要和风险通告 11月微软补丁日共发布57个漏洞补丁,涉及到的产品有.NET、Windows Kernel、Office、Exchange Server等,修复的漏洞中有3个已被用于在野攻击。 2 重点关注 经研判,需要关注的漏洞共12个如下表所示: 编号 漏洞名
继续阅读【安全更新】微软11月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2023-11-15 14:40 通告编号:NS-2023-0044 2023-11-15 TAG: 安全更新、Windows SmartScreen、Microsoft Office、ASP.NET、Windows Cloud Files Mini Filter Driver、Windows DWM Co
继续阅读纽约大学 | 基于大语言模型的零样本漏洞修复研究 原创 吴晓杰, 梅瑞 安全学术圈 2023-11-15 11:13 原文标题:Examining Zero-Shot Vulnerability Repair with Large Language Models 原文作者:Hammond Pearce, Benjamin Tan, Baleegh Ahmad, Ramesh Karri, Bre
继续阅读微软2023年11月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2023-11-15 10:14 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2023年11月补丁日多个产品安全漏洞 影响厂商&产品 Windows Server 2022、Microsoft Office、.NET 8.0 等 公开时间 2023-11-15 影响对象数量级 千万级 奇安信评
继续阅读