博客更新:SSRF漏洞详细讲解(多个实验场景复现),别再SSRF文件下载了
博客更新:SSRF漏洞详细讲解(多个实验场景复现),别再SSRF文件下载了 Patrick.Lin SecurePulse 2025-02-12 10:38 文章地址:https://www.securepulse.website/archives/ssrflou-dong-xiang-jie 关注公众号,及时获取博客更新信息
继续阅读标签: 复现
【漏洞通告】微软2月多个安全漏洞
【漏洞通告】微软2月多个安全漏洞 启明星辰安全简讯 2025-02-12 10:30 一、漏洞概述 2025年2月12日,启明星辰集团VSRC监测到微软发布了2月安全更新,本次更新修复了63个漏洞,涵盖权限提升、远程代码执行、欺骗等多种漏洞类型。漏洞级别分布如下:4个严重级别漏洞,56个重要级别漏洞,1个中危级别漏洞,2个低危级别漏洞( 漏洞 级别依据微软官方数据)。 其中, 11个漏洞被微软标记
继续阅读拿到了 SpringBoot 开发的系统,该如何代码审计分析漏洞?分享下我的一二三步的思路。
拿到了 SpringBoot 开发的系统,该如何代码审计分析漏洞?分享下我的一二三步的思路。 原创 润霖@闪石星曜 闪石星曜CyberSecurity 2025-02-12 10:19 嗨,大家好,这里是闪石星曜CyberSecurity。 众所周知,Java 语言生态在中大型企业中的使用率居高不下,可谓是如日中天,经久不衰。 使用 SpringBoot 架构来开发的 JavaWeb 系统,更是数
继续阅读OpenSSL 高危漏洞可用于中间人攻击
OpenSSL 高危漏洞可用于中间人攻击 do son 代码卫士 2025-02-12 09:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员在 OpenSSL 中发现了一个高危漏洞CVE-2024-12797,影响传统X.509证书替代方法原始公钥 (RPKs) 的实现。 该漏洞可导致攻击者通过模拟服务器的方式执行中间人攻击。OpenSSL 在安全公告中解释称,“使用 RFC
继续阅读2025-02微软漏洞通告
2025-02微软漏洞通告 火绒安全 火绒安全 2025-02-12 09:17 微软官方发布了2025年2月的安全更新。本月更新公布了141个漏洞,包含26个远程执行代码漏洞、20个特权提升漏洞、9个拒绝服务漏洞、5个身份假冒漏洞、2个安全功能绕过漏洞、1个篡改漏洞、1个信息泄露漏洞,其中4个漏洞级别为“Critical”(高危),57个为“Important”(严重)。建议用户及时使用火绒安全
继续阅读【安全更新】微软2月安全更新多个产品高危漏洞通告
【安全更新】微软2月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2025-02-12 09:09 通告编号:NS-2025-0007 2025-02-12 TAG: 安全更新、Windows、Microsoft Office、Azure、Apps、Microsoft Visual Studio 漏洞危害: 攻击者利用本次安全更新中的漏洞,可造成权限提升、远程代码执行等 版
继续阅读信息安全漏洞周报(2025年第6期)
信息安全漏洞周报(2025年第6期) 原创 CNNVD CNNVD安全动态 2025-02-12 08:31 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年2月3日至2025年2月9日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞656个。 接报漏洞情况 本周CNNVD接报漏洞9500个,其中信息技术产品漏洞(通用型漏洞)212个,网络
继续阅读Nftables整型溢出提权利用(CVE-2023-0179)
Nftables整型溢出提权利用(CVE-2023-0179) 蚁景网安 2025-02-12 08:30 前言 在CVE-2023-0179-Nftables整型溢出 中,分析了漏洞的成因,接下来分析漏洞的利用。 漏洞利用 根据漏洞成因可以知道,payload_eval_copy_vlan函数存在整型溢出,导致我们将vlan头部结构拷贝到寄存器(NFT_REG32_00-NFT_REG32_15
继续阅读NetGear发布安全公告提醒用户修补关键WiFi路由器漏洞
NetGear发布安全公告提醒用户修补关键WiFi路由器漏洞 胡金鱼 嘶吼专业版 2025-02-12 06:00 Netgear修复了两个影响多个WiFi路由器模型的关键漏洞,并敦促客户尽快将其设备更新为最新的固件。安全漏洞会影响多个WiFi 6接入点(WAX206,WAX214V2和WAX220)和Nighthawk Pro游戏路由器模型(XR1000,XR1000V2,XR500)。 尽管没
继续阅读Apache Tomcat文件包含漏洞(CVE-2020-1938)处置标准作业程序(SOP)
Apache Tomcat文件包含漏洞(CVE-2020-1938)处置标准作业程序(SOP) 原创 SSS 方桥安全漏洞防治中心 2025-02-12 05:00 01 SOP基本信息 SOP名称:Apache Tomcat文件包含(CVE-2020-1938)漏洞处置SOP 编写日期:2024-8-26 修订日期:2024-8-28 编写人员:SSS(Linux系统管理员) 审核人员:T小组
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第6期,总第24期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第6期,总第24期] 原创 安钥 方桥安全漏洞防治中心 2025-02-12 05:00 感谢所有参与漏洞处置SOP征文活动的每一个人,为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程经常
继续阅读openssl出现严重漏洞CVE-2024-12797
openssl出现严重漏洞CVE-2024-12797 独眼情报 2025-02-12 03:52 使用未经验证服务器的 RFC7250 握手未能按预期中止 (CVE-2024-12797) 严重等级:高 问题概要: 当客户端使用 RFC7250 原始公钥(RPK)来验证服务器身份时,即使设置了 SSL_VERIFY_PEER 验证模式,握手过程也可能无法发现服务器未经过身份验证这一问题。 影响概
继续阅读从 0 到 1:Linux 服务器应急排查实战指南
从 0 到 1:Linux 服务器应急排查实战指南 让数据更安全 德斯克安全小课堂 2025-02-12 03:31 0x01 引言 在服务器运行过程中,网络安全攻击频发,常见威胁包括 挖矿病毒、蠕虫传播、DDoS 攻击、后门程序等。这些攻击不仅影响系统稳定性,还可能造成数据泄露或业务中断。对于系统运维和应急排查人员而言,如何在最短时间内识别攻击迹象、精准定位问题来源,并迅速采取应对措施,是一项至
继续阅读苹果紧急修复iOS零日漏洞CVE-2025-24200,已遭黑客利用
苹果紧急修复iOS零日漏洞CVE-2025-24200,已遭黑客利用 邑安科技 邑安全 2025-02-12 03:21 更多全球网络安全资讯尽在邑安全 本周一,苹果发布了一项紧急安全更新,修复了iOS和iPadOS中的一个安全漏洞。该漏洞已被黑客在现实中利用。 漏洞详情与影响 该漏洞的CVE编号为CVE-2025-24200,被描述为一个授权问题,可能导致恶意攻击者关闭锁定设备上的USB限制模式
继续阅读月子会所ERP管理云平台 GetData.ashx SQL注入漏洞
月子会所ERP管理云平台 GetData.ashx SQL注入漏洞 Superhero nday POC 2025-02-12 02:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读“挖漏洞换酒钱?通过信息收集挖到企业的严重漏洞全纪录思路分享
“挖漏洞换酒钱?通过信息收集挖到企业的严重漏洞全纪录思路分享 原创 蜜汁叉烧 白帽子社区团队 2025-02-12 02:07 关于无问社区 无问社区-官网:http://www.wwlib.cn 本文来自社区成员,蜜汁叉烧饭投稿。欢迎大家投稿,投稿可获得无问社区AI大模型的使用红包哦! 无问社区:网安文章沉浸式免费看! 无问AI大模型不懂的问题随意问! 全网网安资源智能搜索只等你来! 元宵佳节
继续阅读微软最新多个高危漏洞预警
微软最新多个高危漏洞预警 SecHub网络安全社区 2025-02-12 01:35 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。 文中所涉及的技术、思路及工
继续阅读OpenSSL修复了高危漏洞CVE-2024-12797
OpenSSL修复了高危漏洞CVE-2024-12797 鹏鹏同学 黑猫安全 2025-02-12 01:29 OpenSSL项目在其安全通信库中修复了一个高危漏洞,编号为CVE-2024-12797。 OpenSSL软件库允许在计算机网络中进行安全通信,防止窃听或需要识别另一端的情况。OpenSSL包含安全套接层(SSL)和传输层安全(TLS)协议的开源实现。使用RFC7250原始公钥(RPKs
继续阅读攻击者利用新的零日漏洞劫持Fortinet防火墙
攻击者利用新的零日漏洞劫持Fortinet防火墙 鹏鹏同学 黑猫安全 2025-02-12 01:29 Fortinet警告称,威胁行为者正在利用FortiOS和FortiProxy中的一个新的零日漏洞(编号为CVE-2025-24472,CVSS评分为8.1)来劫持Fortinet防火墙。 该漏洞是一个身份验证绕过问题,可能允许远程攻击者通过制作恶意构造的CSF代理请求来获取超级管理员权限。 公
继续阅读Progress Software修复了多个高严重性的LoadMaster漏洞
Progress Software修复了多个高严重性的LoadMaster漏洞 鹏鹏同学 黑猫安全 2025-02-12 01:29 Progress Software已修复其LoadMaster软件中的多个高严重性安全漏洞(CVE-2024-56131、CVE-2024-56132、CVE-2024-56133、CVE-2024-56134、CVE-2024-56135)。 Progress S
继续阅读记一次某大型系统前台RCE(0day)审计经历
记一次某大型系统前台RCE(0day)审计经历 原创 C@ig0 菜狗安全 2025-02-12 01:20 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 前言 该篇文章由交流群大佬友情分享,给大佬打c
继续阅读微软补丁日修复4个0Day和一共55个缺陷
微软补丁日修复4个0Day和一共55个缺陷 会杀毒的单反狗 军哥网络安全读报 2025-02-12 01:04 导读 今天是微软 2025 年 2 月的补丁日,新补丁包含 55 个漏洞的安全更新,其中四个 0day 漏洞,有两个漏洞在攻击中被积极利用。 本月补丁日还修复了三个“严重”漏洞,均为远程代码执行漏洞。 各个漏洞类别的漏洞数量如下: – 19 个特权提升漏洞 –
继续阅读Apple 发现高危 OpenSSL 漏洞可导致中间人攻击
Apple 发现高危 OpenSSL 漏洞可导致中间人攻击 会杀毒的单反狗 军哥网络安全读报 2025-02-12 01:04 导读 OpenSSL 周二发布针对 OpenSSL 两年来首个高严重性漏洞的补丁。 OpenSSL 修补了漏洞 CVE-2024-12797 ,这是 Apple 发现的一个高严重性漏洞,可引发中间人攻击。 OpenSSL 项目解决了其安全通信库中的一个高严重性漏洞
继续阅读Java代码审计 || 通过某博客系统实战学习一个有趣的 SSRF 漏洞分析
Java代码审计 || 通过某博客系统实战学习一个有趣的 SSRF 漏洞分析 实战安全研究 2025-02-12 01:00 嗨,大家好,这里是闪石星曜CyberSecurity。 我是你们的老朋友润霖。 今天通过 Halo 博客系统给大家讲讲在 JavaWeb 中 SSRF 漏洞分析。 如果大家想系统入门学习 Java代码审计,欢迎报名我的课程,五十多节课,平均一小时,20+企业级实战项目,低至
继续阅读漏洞预警 | 灵当CRM任意文件上传和信息泄露漏洞
漏洞预警 | 灵当CRM任意文件上传和信息泄露漏洞 浅安 浅安安全 2025-02-12 00:06 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 灵当CRM是一款专为中小企业打造的智能客户关系管理工具。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意脚本文件 简述: 灵当CRM的/crm/uploaddify/uplo
继续阅读漏洞预警 | LED屏信息发布系统信息泄露漏洞
漏洞预警 | LED屏信息发布系统信息泄露漏洞 浅安 浅安安全 2025-02-12 00:06 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 星网锐捷DMB-BS LED屏信息发布系统是一套专业的数字媒体远程播放控制系统,它主要用于将各类媒体文件组合成多媒体节目,并通过网络传输到LED显示屏上进行有序的分屏或全屏播放。 0x03 漏洞
继续阅读Kali Linux 高级渗透测试+Web安全漏洞汇总
Kali Linux 高级渗透测试+Web安全漏洞汇总 计算机与网络安全 2025-02-11 23:57 加入知识星球: 网络安全攻防(HVV) 下载文件 本篇仅提供星球内下载,不提供人工获取 会员进群和文件下载指南 第一部分 攻击者杀链 第1章 走进Kali Linux 1.1 Kali Linux 1.2 配置网络服务和安全通信 1.2.1 调整网络代理设置 1.2.2 使用安全Shell保
继续阅读高危!Palo Alto防火墙曝供应链级漏洞,Secure Boot绕过+固件篡改风险激增
高危!Palo Alto防火墙曝供应链级漏洞,Secure Boot绕过+固件篡改风险激增 原创 Hankzheng 技术修道场 2025-02-11 23:48 导语 : 全球知名安全厂商Palo Alto Networks多款企业级防火墙被曝存在”供应链级”高危漏洞!安全团队Eclypsium研究发现,攻击者可绕过Secure Boot保护 、篡改固件植入持久化后门,P
继续阅读手把手教你审计金和OA系统漏洞
手把手教你审计金和OA系统漏洞 原创 chobits02 Code4th安全团队 2025-02-11 23:45 金和OA C6系统是一款功能强大、应用广泛的协同管理平台。主要是由CSharp开发,打包成dll文件。在审计源码时候要使用dnspy之类的工具反编译源码进行审计。 贴一张我之前的CNVD代码审计提交成果 这里随口唠叨一句,金和OA已经是非常古老的产物了,在我实习时就误打误撞拿到了备份
继续阅读