重点系统指纹漏洞验证工具 — Catcher
重点系统指纹漏洞验证工具 — Catcher wudijun Web安全工具库 2025-02-11 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除
继续阅读标签: 复现
APP渗透测试 — 越权漏洞
APP渗透测试 — 越权漏洞 Web安全工具库 2025-02-11 16:01 本套课程在线学习(网盘地址,保存即可免费观看)地址: 扫描二维码 免费下载观看 链接:https://pan.quark.cn/s/5b6324e49ef5 00:04 – 讲解权限相关漏洞:垂直越权与水平越权 本次讲解聚焦于网站权限相关的漏洞,具体分析了垂直越权和水平越权的概念及其表现形式。
继续阅读GitHub 上的虚假 LDAPNightmware 漏洞传播信息窃取恶意软件
GitHub 上的虚假 LDAPNightmware 漏洞传播信息窃取恶意软件 Rhinoer 犀牛安全 2025-02-11 16:00 GitHub 上针对 CVE-2024-49113(又名“LDAPNightmare”)的欺骗性概念验证 (PoC) 漏洞利用信息窃取恶意软件感染用户,该恶意软件会将敏感数据泄露到外部 FTP 服务器。 这种策略并不新颖,因为在 GitHub 上已经有多起以
继续阅读【漏洞预警】Trimble Cityworks需授权反序列化漏洞 (CVE-2025-0994)
【漏洞预警】Trimble Cityworks需授权反序列化漏洞 (CVE-2025-0994) cexlife 飓风网络安全 2025-02-11 14:43 Trimble Cityworks是一款以地理信息系统(GIS)为中心的资产管理和工单管理软件,主要面向地方政府、公用事业和公共工程组织。该软件通过集成Esri的ArcGIS,帮助用户管理基础设施资产、跟踪工单并简化运营流程。 漏洞详
继续阅读【漏洞预警】Apache James未授权输入验证不当漏洞可导致拒绝服务
【漏洞预警】Apache James未授权输入验证不当漏洞可导致拒绝服务 cexlife 飓风网络安全 2025-02-11 14:43 James是属于Apache的一个开源项目,是Apache组织构建的一个可移植的、100%纯Java实现的企业级邮件服务器。 漏洞详情: Apache James发布安全公告,其中公开了一个输入验证不当漏洞,该漏洞与CVE-2024-34055类似,Apache
继续阅读锐捷网络-EWEB系统auth接口存在远程命令执行漏洞 附POC
锐捷网络-EWEB系统auth接口存在远程命令执行漏洞 附POC 2025-2-11更新 南风漏洞复现文库 2025-02-11 14:42 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 锐捷网络-EWEB系统简介 微信公众号搜索:南
继续阅读一次渗透过程中的CVE-2022-45460撞洞RCE
一次渗透过程中的CVE-2022-45460撞洞RCE 原创 Ti TIPFactory情报工厂 2025-02-11 12:14 在一次渗透中我们遇到了雄迈(XiongMai)的uc-httpd,这是一款被全球无数网络摄像机使用的轻量级Web服务器。根据Shodan的数据,大约有7万个该软件的实例在互联网上公开暴露。尽管这款软件存在严重的历史漏洞,但似乎没有现成的漏洞利用代码能够RCE,于是我决
继续阅读微软扩展Copilot AI漏洞奖励计划范围,提高赏金
微软扩展Copilot AI漏洞奖励计划范围,提高赏金 Sergiu Gatlan 代码卫士 2025-02-11 10:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周末,微软宣布扩大Copilot (AI) 漏洞奖励计划并提高对中危漏洞的赏金。 为了进一步保护 Copilot 消费者产品免受攻击,微软将更多的 Copilot 消费者产品和服务纳入计划范围,包括 Copilot
继续阅读AI驱动的安全漏洞发现正在重塑网络安全新模式
AI驱动的安全漏洞发现正在重塑网络安全新模式 原创 洞察网络安全的 安全牛 2025-02-11 09:54 网络安全是安全数字时代最大的挑战之一。随着网络攻击日益复杂和不断演进,传统的安全措施已经无法完全保护我们的系统和数据。 人工智能为网络安全领域带来了全新的希望和机遇。AI 驱动的漏洞研究和安全解决方案正在彻底改变游戏规则,为我们提供了前所未有的主动防御能力。 由此,AI 已成为网络安全专业
继续阅读Mysql LOAD DATA 读取客户端任意文件
Mysql LOAD DATA 读取客户端任意文件 twe1v3 蚁景网络安全 2025-02-11 09:30 复现 Mysql LOAD DATA INFILE 读取客户端任意文件漏洞 前言 MySQL 客户端和服务端通信过程中是通过对话的形式来实现的,客户端发送一个操作请求,然后服务端根据客户端发送的请求来响应客户端,在这个过程中客户端如果一个操作需要两步才能完成,那么当它发送完第一个请求过
继续阅读Nftables整型溢出分析(CVE-2023-0179)
Nftables整型溢出分析(CVE-2023-0179) 蚁景网安 2025-02-11 08:30 前言 Netfilter是一个用于Linux操作系统的网络数据包过滤框架,它提供了一种灵活的方式来管理网络数据包的流动。Netfilter允许系统管理员和开发人员控制数据包在Linux内核中的处理方式,以实现网络安全、网络地址转换(Network Address Translation,NAT)
继续阅读【burpsuite靶场-服务端】XXE注入漏洞
【burpsuite靶场-服务端】XXE注入漏洞 原创 underatted 泷羽Sec-underatted安全 2025-02-11 07:42 XML外部实体(XXE)注入 在本节中,我们将解释什么是 XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种 XXE 注入,并总结如何防止 XXE 注入攻击。 1. 什么是XML外部实体注入? XML外部实体注入(也称为XXE)是一个 W
继续阅读「深蓝洞察」2024年度最狂躁不安的漏洞
「深蓝洞察」2024年度最狂躁不安的漏洞 原创 深蓝洞察 DARKNAVY 2025-02-11 06:48 在安全研究人员的共同努力下,越发严格的安全缓解措施,已经把大部分内存漏洞扼杀在了摇篮之中。 是时候宣布内存漏洞成为过去式了? 2024年7月,一枚来自Windows阵营的“核弹”打破了安全的幻象。我们不禁发问:面对来自内存的威胁,眼前的城墙究竟能抵挡些什么? 以下为本期《深蓝洞察 | 20
继续阅读【漏洞通告】IBM Jazz for Service Management 跨站点脚本 (CVE-2024-52892)
【漏洞通告】IBM Jazz for Service Management 跨站点脚本 (CVE-2024-52892) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况 IBM Jazz for Service Management 1.1.3至1.1.3.23版本存在跨站脚本漏洞。该漏洞允许未经身份验证的攻击者在Web UI中嵌入任意JavaScript代码,从
继续阅读Enhanced BurpGPT | AI分析安全漏洞,支持DeepSeek、OpenAI、Google、Anthropic等等
Enhanced BurpGPT | AI分析安全漏洞,支持DeepSeek、OpenAI、Google、Anthropic等等 原创 尘佑不尘 泷羽Sec-尘宇安全 2025-02-11 06:16 前言 Enhanced BurpGPT 是一个 Burp Suite 插件,它能帮助你使用 AI(人工智能)来分析 Web 应用的安全问题。简单来说,当你测试网站时,你可以在指定的请求响应对,点击s
继续阅读新型 Aquabotv3 勒索软件利用 Mitel 命令注入漏洞发起攻击
新型 Aquabotv3 勒索软件利用 Mitel 命令注入漏洞发起攻击 胡金鱼 嘶吼专业版 2025-02-11 06:00 一种基于“Mirai”的僵尸网络恶意软件“Aquabot”的新变种已被发现正在积极利用 Mitel SIP 电话中的命令注入漏洞 CVE-2024-41710。 这项活动是由Akamai的安全情报和响应小组(SIRT)发现的,报告说这是属于其雷达的Aquabot的第三种变
继续阅读【漏洞通告】Trimble Cityworks反序列化漏洞(CVE-2025-0994)
【漏洞通告】Trimble Cityworks反序列化漏洞(CVE-2025-0994) 启明星辰安全简讯 2025-02-11 05:55 一、漏洞概述 漏洞名称 Trimble Cityworks反序列化漏洞 CVE ID CVE-2025-0994 漏洞类型 反序列化 发现时间 2025-02-11 漏洞评分 8.6 漏洞等级 高危 攻击向量 网络 所需权限 高 利用难度 低 用户交互
继续阅读【漏洞通告】IBM Security Verify Directory命令执行漏洞(CVE-2024-51450)
【漏洞通告】IBM Security Verify Directory命令执行漏洞(CVE-2024-51450) 启明星辰安全简讯 2025-02-11 05:55 一、漏洞概述 漏洞名称 IBM Security Verify Directory命令执行漏洞 CVE ID CVE-2024-51450 漏洞类型 命令执行 发现时间 2025-02-11 漏洞评分 9.1 漏洞等级 严重 攻
继续阅读Fortinet 警告黑客利用身份验证绕过零日漏洞可劫持防火墙
Fortinet 警告黑客利用身份验证绕过零日漏洞可劫持防火墙 Rhinoer 犀牛安全 2025-02-11 05:17 攻击者正在利用 FortiOS 和 FortiProxy 中新的身份验证绕过零日漏洞劫持 Fortinet 防火墙并侵入企业网络。 此安全漏洞(编号为CVE-2024-55591)影响 FortiOS 7.0.0 至 7.0.16、FortiProxy 7.0.0 至 7.0
继续阅读虹安Heimdall DLP数据泄漏防护系统 pushSetup.do SQL注入漏洞
虹安Heimdall DLP数据泄漏防护系统 pushSetup.do SQL注入漏洞 Superhero nday POC 2025-02-11 03:31 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及
继续阅读CVE-2024-52046 Apache mina 反序列化漏洞简单分析
CVE-2024-52046 Apache mina 反序列化漏洞简单分析 原创 hulala14 呼啦啦安全 2025-02-11 03:22 前言最近披露了一个新的apache下属产品mina的CVE-2024-52046反序列化漏洞,这个产品mina之前没有接触过,好奇心驱使之下准备一下并记录一下学习的过程首先查看cve官网公开的部分漏洞信息https://www.cve.org/CVERe
继续阅读上周关注度较高的产品安全漏洞(20250127-20250209)
上周关注度较高的产品安全漏洞(20250127-20250209) 金瀚信安 2025-02-11 03:19 一、境外厂商产品漏洞 1、Microsoft Message Queuing拒绝服务漏洞 Microsoft Message Queuing是用于实现需要高性能的异步和同步场景的解决方案。 Microsoft Message Queuing存在安全漏洞。攻击者可利用该漏洞导致系统拒绝服务
继续阅读网络攻击者利用SimpleHelp RMM漏洞实现持久访问和勒索软件攻击
网络攻击者利用SimpleHelp RMM漏洞实现持久访问和勒索软件攻击 汇能云安全 2025-02-11 01:32 2月11日,星期二,您好!中科汇能与您分享信息安全快讯: 01 索尼PlayStation网络一度大面积中断,导致服务全线中断 2月8日,索尼PlayStation网络遭遇大规模中断,导致全球玩家无法访问关键在线功能,包括账号登录、在线游戏、PlayStation商店等,引发玩家
继续阅读AnyDesk 漏洞PoC发布,利用该漏洞通过壁纸获取管理员权限
AnyDesk 漏洞PoC发布,利用该漏洞通过壁纸获取管理员权限 会杀毒的单反狗 军哥网络安全读报 2025-02-11 01:01 导读 流行的远程桌面软件 AnyDesk 最近披露了一个漏洞,编号为 CVE-2024-12754,该漏洞使本地攻击者能够利用对Windows 背景图像的处理来获取对敏感系统文件的未经授权的访问。 这可能会将他们的权限升级到管理级别,对系统安全构成重大威胁。 该漏洞
继续阅读.NET 代码审计:发现某企业级 OA 系统中任意文件下载漏洞
.NET 代码审计:发现某企业级 OA 系统中任意文件下载漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-11 00:21 在企业级OA系统的业务交互过程中,文件上传和下载是常见的功能需求。然而,往往会在实现这些功能时忽视安全性,导致系统可能存在一些安全漏洞,特别是文件下载漏洞。 01. 漏洞代码分析 下面通过对某OA系统代码的审计,详细分析如何发现并利用任意文件下载漏洞,以
继续阅读漏洞预警 | ZZCMS SQL 注入漏洞
漏洞预警 | ZZCMS SQL 注入漏洞 浅安 浅安安全 2025-02-11 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 ZZCMS是一款适用于招商代理型的行业网站。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: ZZCMS的/index.php接口存在SQL注入漏洞,未经身份验证的攻击者可
继续阅读漏洞预警 | NetMizer日志管理系统远程命令执行漏洞
漏洞预警 | NetMizer日志管理系统远程命令执行漏洞 浅安 浅安安全 2025-02-11 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 NetMizer日志管理系统是一款可以记录流经设备的所有会话日志并将其传送到外部的管理中心上的系统。 0x03 漏洞详情 漏洞类型: 远程 命令 执行 影响: 执行任意代码 简述:
继续阅读2024年度网络安全漏洞分析报告
2024年度网络安全漏洞分析报告 计算机与网络安全 2025-02-10 23:57 资料列表: https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ 会员进群和文件下载指南 随着信息技术的广泛应用,网络攻击的手段和技术层面越来越复杂,挑战企业和个人的安全防线的同时,也对社会的安全管理和意识提出了更高的要求。漏洞是网络防御的基础,深入了解漏洞本质、追踪其演变态势并采取
继续阅读富通天下外贸ERPUploadEmailAttr存在任意文件上传漏洞
富通天下外贸ERPUploadEmailAttr存在任意文件上传漏洞 原创 骇客安全 骇客安全 2025-02-10 16:00 四、漏洞复现 POST /JoinfApp/EMail/UploadEmailAttr?name=.ashx HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) Appl
继续阅读经典漏洞复现:CrossFire老版本缓冲区溢出漏洞GetShell全解析
经典漏洞复现:CrossFire老版本缓冲区溢出漏洞GetShell全解析 原创 Z1eaf 泷羽Sec-Z1eaf 2025-02-10 15:24 背景 前面我们学习了利用Windows32位系统的缓冲区溢出漏洞来getshell,今天我们来利用Linux32位系统的缓冲区溢出漏洞来getshell,进一步学习和理解缓冲区溢出漏洞 – 首先,我们这次需要准备一个Linux32位系统
继续阅读