棉花糖居然被开盒了!
棉花糖居然被开盒了! 棉花糖糖糖 阿乐你好 2025-02-28 01:00 前情提要: 由于我被逆天哥开盒,所以本文将带领大家细说这位逆天开盒哥:红岸基地赵小龙的逆天事迹。 有些师傅不知道赵小龙是谁,给大家讲一下。 暗影网安实验室,红岸基地网络安全,这俩公众号都是他的 (有一说一,红岸、暗影,中不中二啊….自己起名字的时候笑没笑) ,我的好友列表甚至还有不少关注,看到这篇文章请你自行
继续阅读标签: 文件上传
.NET 逻辑绕过漏洞审计思路和挖掘
.NET 逻辑绕过漏洞审计思路和挖掘 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-28 00:34 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项逻辑绕过漏洞的发现引起了广泛关注。攻击者只需构造一个特定的URL请求,便能实现让接口泄露管理员敏感信息,包括用户名和密码, 因此,在日常的代码审计和评估的环节需要格外留意该漏洞类型引发的安全漏洞。 01
继续阅读漏洞预警 | 金盘移动图书馆系统任意文件上传漏洞
漏洞预警 | 金盘移动图书馆系统任意文件上传漏洞 浅安 浅安安全 2025-02-28 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 金盘移动图书馆管理系统是集掌上门户,掌上APP,微信平台为一体的移动服务解决方案,在移动智能时代拉近读者与图书馆之间的距离。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 控制服务器
继续阅读创宇安全智脑 | NUUO 网络录像机 handle_site_config.php 远程命令执行等67个漏洞可检测
创宇安全智脑 | NUUO 网络录像机 handle_site_config.php 远程命令执行等67个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-02-27 09:10 创宇安全智脑是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和
继续阅读漏洞分析 | Apache SkyWalking从SQL注入到RCE
漏洞分析 | Apache SkyWalking从SQL注入到RCE 原创 杂七 杂七杂八聊安全 2025-02-27 05:38 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把 杂七杂八聊安全“ 设为星标”, 否则可能就看不到了啦~ 0x01 H2db的命令执行 0x01.1 环境搭建 从 http://www.h2database.com/html/download.html 下
继续阅读实战纪实 | 真实HW漏洞流量告警分析
实战纪实 | 真实HW漏洞流量告警分析 实战安全研究 2025-02-27 02:01 扫码领资料 获网安教程 本文由掌控安全学院 – 满心欢喜 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 今年七月,我去到了北京某大厂参加HW行动,因为是重点领域—-jr,所以每天态势感知设备上都有大量的告警,当时非常累,感觉每天睡醒就是盯屏
继续阅读.NET 通过代码审计发现某办公系统逻辑绕过漏洞可泄露管理员账户和密码
.NET 通过代码审计发现某办公系统逻辑绕过漏洞可泄露管理员账户和密码 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-27 00:27 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项逻辑绕过漏洞的发现引起了广泛关注。攻击者只需构造一个特定的URL请求,便能实现让接口泄露管理员敏感信息,包括用户名和密码, 因此,在日常的代码审计和评估的环节需要格外留
继续阅读CyberMatrix 是一个基于 AI 的代码安全分析工具,专注于自动化检测和分析代码中的潜在安全漏洞。
CyberMatrix 是一个基于 AI 的代码安全分析工具,专注于自动化检测和分析代码中的潜在安全漏洞。 savior-only 夜组安全 2025-02-27 00:00 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所
继续阅读安全通告丨网络安全漏洞通告(2025年2月)
安全通告丨网络安全漏洞通告(2025年2月) 创信华通 2025-02-26 10:59 作为国内权威的安全漏洞通告组织,创信华通基于自身的威胁情报和漏洞挖掘能力,对全球最新的安全漏洞及安全事件进行跟踪研究,在第一时间向用户提供高危漏洞、威胁攻击的解决办法及情报资讯,以帮助用户提升网络安全的预警和响应能力。 一、 漏洞态势 / 2025.2 高危漏洞预警 在第一时间内向用户发布高危漏洞预警,通告漏
继续阅读【漏洞预警】Lumsoft ERP 8无限制文件上传漏洞 (CVE-2025-1646)
【漏洞预警】Lumsoft ERP 8无限制文件上传漏洞 (CVE-2025-1646) cexlife 飓风网络安全 2025-02-25 12:34 漏洞描述: 在Lumѕоft ERP 8中发现了一个被分类为严重的漏洞,这个问题影响了组件ASPX文件处理器中文件/Aрi/TinуMсе/UрlоаdAјахAPI.аѕhх的一些未知功能,操纵参数filе导致无限制的上传,攻击者可能远程发起该
继续阅读碰撞 .NET machineKey 实现远程代码执行漏洞
碰撞 .NET machineKey 实现远程代码执行漏洞 专攻.NET安全的 dotNet安全矩阵 2025-02-25 00:20 近期,Microsoft Threat Intelligence监测到一起由未知威胁行动者发起的攻击事件。该行动者利用从公开资源中获取的 .NET 机器密钥,成功注入了恶意代码,并部署了Godzilla,尽管其活动范围有限。经调查,发现问题的根源在于部分开发人员错
继续阅读记一次“安全扫描工具联动”自动化扫描漏洞流程
记一次“安全扫描工具联动”自动化扫描漏洞流程 点击关注👉 马哥网络安全 2025-02-22 09:00 假如你在一次攻防演练或者渗透测试中有多个攻击测试目标,一个一个去手动测试是肯定不现实的,可以先借助安全扫描工具去“自动扫描测试目标站点”的薄弱漏洞的位置,为你后续的深入测试提供事半功倍的效果。 前言:随着当前网络安全威胁的不断扩展与升级,开展渗透测试工作已经成为众多组织或公司主动识别安全漏洞与
继续阅读ViewStates 漏洞,利用 .NET 机器密钥实施代码注入攻击
ViewStates 漏洞,利用 .NET 机器密钥实施代码注入攻击 专攻.NET安全的 dotNet安全矩阵 2025-02-22 07:32 近期,Microsoft Threat Intelligence监测到一起由未知威胁行动者发起的攻击事件。该行动者利用从公开资源中获取的 .NET 机器密钥,成功注入了恶意代码,并部署了Godzilla,尽管其活动范围有限。经调查,发现问题的根源在于部分
继续阅读漏洞预警 | 月子会所ERP管理云平台任意文件上传漏洞
漏洞预警 | 月子会所ERP管理云平台任意文件上传漏洞 浅安 浅安安全 2025-02-22 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 月子会ERP管理云平台是由武汉金同方科技有限公司研发团队结合行业月子中心相关企业需求开发的一套综合性管理软件。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 控制服务器 简述:
继续阅读9万个WordPress站点面临本地文件包含漏洞攻击
9万个WordPress站点面临本地文件包含漏洞攻击 AI小蜜蜂 FreeBuf 2025-02-21 11:02 WordPress的Jupiter X Core插件存在严重安全漏洞,使得超过9万个网站面临本地文件包含(LFI)和远程代码执行(RCE)攻击的风险。 该漏洞被追踪为CVE-2025-0366,CVSS评分为8.8(高危),允许具有贡献者权限的攻击者上传恶意的SVG文件并在受影响的服
继续阅读漏洞预警 | 浙大恩特客户资源管理系统任意文件上传漏洞
漏洞预警 | 浙大恩特客户资源管理系统任意文件上传漏洞 浅安 浅安安全 2025-02-21 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 浙大恩特客户资源管理系统是一款外贸管理软件,它提供了多种功能,包括客户档案管理、邮件管理、OA外贸办公管理系统、分管权限管理、联系跟进及提醒、业务检查管理、统计分析管理等。 0x03 漏
继续阅读DVWA靶场保姆级通关教学
DVWA靶场保姆级通关教学 原创 Z1eaf 泷羽Sec-Z1eaf 2025-02-20 13:36 DVWA介绍 DVWA(Damn Vulnerable Web Application) 一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 另外,DVWA 还可以手动调整靶
继续阅读.NET 通过代码审计发现某 OA 系统全局性权限访问绕过漏洞
.NET 通过代码审计发现某 OA 系统全局性权限访问绕过漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-20 00:28 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项全局绕过漏洞的发现引起了广泛关注。该漏洞源自 两个组件的协同作用,攻击者只需构造一个特定的URL请求,便能实现对任意接口的未授权访问。 01. OA系统漏洞背景 某和OA协同办
继续阅读APT-C-28(ScarCruft)组织利用无文件方式投递RokRat的攻击活动分析
APT-C-28(ScarCruft)组织利用无文件方式投递RokRat的攻击活动分析 原创 高级威胁研究院 360威胁情报中心 2025-02-19 10:10 APT-C-28 ScreCruft APT-C-28(ScarCruft)组织,也被称为APT37(Reaper)和Group123,是一个源自东北亚地区的APT组织。该组织的相关攻击活动最早可追溯到2012年,并且一直保持到现在仍然
继续阅读JAVA代审-publiccms_V4_2024_6
JAVA代审-publiccms_V4_2024_6 原创 C@ig0 菜狗安全 2025-02-19 02:13 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 前言 本篇文章首发在先知社区,作者C@i
继续阅读永洪BI远程代码执行漏洞
永洪BI远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2025-02-19 00:59 漏洞概况 永洪BI是一款由北京永洪商智科技有限公司开发的企业级商业智能软件。旨在帮助企业通过数据分析和可视化,提升决策效率和数据驱动的业务洞察能力。永洪BI提供了从数据准备、数据分析到数据可视化的一站式解决方案,适用于多种行业和应用场景。 微步情报局通过X漏洞奖励计划获取到永洪BI远程代码执行漏洞情
继续阅读想本地化部署DeepSeek?这些漏洞要注意!
想本地化部署DeepSeek?这些漏洞要注意! 重生之成为赛博女保安 2025-02-19 00:14 2025年伊始,AI领域迎来一个重要变革 – DeepSeek R1开源发布,凭借着低成本、性能出众的优势,这个模型在短短几周内就获得空前关注。由于官网服务经常繁忙,大家开始选择使用Ollama+OpenWebUI、LM Studio等工具进行本地快速部署,从而将AI能力引入企业内网
继续阅读APP渗透测试 — 文件上传漏洞
APP渗透测试 — 文件上传漏洞 网络安全者 2025-02-18 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: 链接:https://pan.quark.cn/s/67633ca6f26e 00:00 – 文件上传漏洞的防范措施 讨论了文件上传功能在许多APP和网站中的常见应用,以及如果对上传内容过滤不严可能导致的安全问题。从开发的角度,文件上传漏洞的
继续阅读Apache Tomcat 条件竞争致远程代码执行漏洞(CVE-2024-50379)
Apache Tomcat 条件竞争致远程代码执行漏洞(CVE-2024-50379) 菜鸡小z 无影安全实验室 2025-02-17 14:35 免责声明: 本篇文章仅用于技术交流, 请勿利用文章内的相关技术从事非法测试 , 由于传播、利用本公众号无影安全 实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责任,一旦造成后果请自行
继续阅读DeepSeek代码审计技术解析:从模型革新到漏洞挖掘实战
DeepSeek代码审计技术解析:从模型革新到漏洞挖掘实战 原创 悟剑堂-千里 东方隐侠安全团队 2025-02-16 16:11 隐侠们的日常:关心武林 蛇 年新春前后,隐侠关注到DeepSeek名声大噪, 低成本AI模型的崛起 时代正式到来。 2025年初,中国AI企业深度求索(DeepSeek)凭借开源模型DeepSeek-V3 和DeepSeek-R1 引发全球关注。其模型以仅OpenAI
继续阅读让Druid未授权访问漏洞危害最大化案例和利用工具|挖洞技巧
让Druid未授权访问漏洞危害最大化案例和利用工具|挖洞技巧 漏洞挖掘投稿 渗透安全HackTwo 2025-02-16 16:02 0x01 前言 Druid是阿里开发的数据库连接池,广泛用于监控和数据管理。常见的安全漏洞主要有两种:未授权访问和弱口令问题。若发现Druid未授权访问,利用druid_sessions工具快速获取 Alibaba Druid 的相关参数(sessi
继续阅读漏洞预警 | 思迅商旗商业管理系统任意文件上传漏洞
漏洞预警 | 思迅商旗商业管理系统任意文件上传漏洞 浅安 浅安安全 2025-02-15 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 思迅商旗商业管理系统10是一款面向连锁超市、百货、便利店等零售业态的管理系统,集进销存、收银、会员、促销、供应链 等功能于一体,帮助企业提升经营效率和管理水平。 0x03 漏洞详情 漏洞类型
继续阅读30,000个WordPress网站因文件上传漏洞暴露于攻击风险
30,000个WordPress网站因文件上传漏洞暴露于攻击风险 网安百色 2025-02-14 11:29 点击上方 蓝字 关注我们吧~ “安全与恶意软件扫描CleanTalk”插件中的一个严重安全漏洞使3万多个WordPress网站暴露于漏洞攻击。 该漏洞被标识为CVE-2024-13365,允许未经身份验证的攻击者进行任意文件上传,有可能导致远程代码执行(RCE)。 该缺陷被赋予CVSS 9
继续阅读【国际视野】美国网络安全和基础设施安全局和联邦调查局联合发布《设计安全警报:消除缓冲区溢出漏洞》
【国际视野】美国网络安全和基础设施安全局和联邦调查局联合发布《设计安全警报:消除缓冲区溢出漏洞》 原创 天极智库 天极智库 2025-02-14 10:00 “ 天极按 近日, 网络安全和基础设施安全局(CISA)发布了《联合网络防御协作组织人工智能网络安全协作手册》(Joint Cyber Defense Collaborative (JCDC) Artificial Intelligence
继续阅读Ollama zipslip 远程代码执行漏洞
Ollama zipslip 远程代码执行漏洞 原创 枇杷哥 黑伞安全 2025-02-14 07:14 通过ollama/ollama中的 zipslip 执行远程代码 概括 该ZipSlip漏洞可能允许攻击者将任意文件写入文件系统。因此,攻击者可以通过创建恶意 zip 文件 ( ) 来实现远程代码执行 ( /etc/ld.so.preloadRCE vuln.so) application/z
继续阅读