CISO焦虑:砸钱买工具,漏洞为何依旧“逍遥法外”?
CISO焦虑:砸钱买工具,漏洞为何依旧“逍遥法外”? 数世咨询 2024-10-21 16:00 到 2024 年底,全球信息安全支出预计将达到 2150 亿美元。 但一项针对首席信息安全官 (CISO) 的新调查显示,所有这些资金可能并没有带来他们所希望的业务安全。 事实上,全球 44% 的 CISO 报告称,在过去 12 个月内,他们使用现有工具没有发现任何数据泄露事件。 01 全球234名C
继续阅读标签: 漏洞
macOS 用户注意: Safari严重安全漏洞可致摄像头、麦克风数据被捕获
macOS 用户注意: Safari严重安全漏洞可致摄像头、麦克风数据被捕获 安全客 2024-10-21 15:21 微软近期曝光了一项严重的安全漏洞,涉及苹果的透明度、同意和控制(TCC)框架。 这一漏洞名为 HM Surf(CVE-2024-44133),攻击者可以利用它绕过用户隐私设置,访问敏感数据 。苹果在 9 月 16 日对 macOS Sequoia 的更新中发布了 CVE-2024
继续阅读api漏洞测试-GraphQL自省问题
api漏洞测试-GraphQL自省问题 原创 zuriel 迪哥讲事 2024-10-20 23:56 api漏洞测试-GraphQL自省问题 正文 正常情况下的请求:在生产环境中,开发者通常会禁用自省查询功能,只允许有限的、明确授权的查询。例如,用户只被允许查询他们自己账户的信息,无法访问其他用户的信息。 示例(正常请求): { user(handle: "john_doe&quo
继续阅读使用 LLM 和静态代码分析查找可利用漏洞的工具
使用 LLM 和静态代码分析查找可利用漏洞的工具 原创 星空浪子 星空网络安全 2024-10-20 20:08 在当今不断发展的网络安全环境中,识别代码库中的漏洞对于维护安全的软件和基础设施至关重要。Vulnhuntr 是一款可在 GitHub 上获取的开源工具,它利用 大型语言模型 (LLM) 和静态代码分析来识别基于 Python 的项目中可远程利用的漏洞。Vulnhuntr 的设计简洁而强
继续阅读浙大恩特客户资源管理系统 Quotegask_editAction SQL注入漏洞
浙大恩特客户资源管理系统 Quotegask_editAction SQL注入漏洞 Superhero Nday Poc 2024-10-20 15:44 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知
继续阅读【PoC】开源监控平台Grafana 后认证 DuckDB SQL 注入(文件读取)CVE-2024-9264 (9.9)
【PoC】开源监控平台Grafana 后认证 DuckDB SQL 注入(文件读取)CVE-2024-9264 (9.9) 独眼情报 2024-10-20 12:53 概念验证 (PoC) 此 PoC 展示了利用 CVE-2024-9264 使用已认证用户执行 DuckDB SQL 查询并读取文件系统上的任意文件的方法。 设置:通过以下命令安装所需的依赖项: pip install -r requ
继续阅读漏洞挖掘 | 全站一个Cookie鉴权,哪哪都能越
漏洞挖掘 | 全站一个Cookie鉴权,哪哪都能越 原创 zkaq – 满心欢喜 掌控安全EDU 2024-10-20 12:00 扫码领资料 获网安教程 本文由掌控安全学院 – 满心欢喜 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 某站的教师学习系统 img 开局直接发现注册功能点,直接注(反正不是用我自己的信息
继续阅读新的macOS漏洞允许攻击者绕过安全控制
新的macOS漏洞允许攻击者绕过安全控制 Zicheng FreeBuf 2024-10-20 09:30 据Cyber Security News消息, 微软威胁情报发现,macOS出现了一个名为“HM Surf”的新漏洞,能允许攻击者绕过操作系统的透明、同意和控制(TCC)技术,在未经授权的情况下访问用户受保护的数据。 该漏洞被追踪为CVE-2024-44133,能够被利用收集敏感信息(例如浏
继续阅读畅捷通TPlus FileUploadHandler.ashx存在任意文件上传漏洞 附POC
畅捷通TPlus FileUploadHandler.ashx存在任意文件上传漏洞 附POC 2024-10-19更新 南风漏洞复现文库 2024-10-19 22:41 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. 畅捷通TPl
继续阅读CVE-2024-28988|SolarWinds Web Help Desk反序列化远程代码执行漏洞
CVE-2024-28988|SolarWinds Web Help Desk反序列化远程代码执行漏洞 alicy 信安百科 2024-10-19 21:17 0x00 前言 Web Help Desk(WHD)是基于ITIL的标准和规范的服务与流程管理系统。WHD提供了丰富的功能集,来解决关键的IT和技术支持问题,包括:事件管理、问题管理、变更管理、资产和配置管理、知识管理。 SolarWind
继续阅读CVE-2024-31449|Redis 缓冲区溢出漏洞 可致远程代码执行
CVE-2024-31449|Redis 缓冲区溢出漏洞 可致远程代码执行 alicy 信安百科 2024-10-19 21:17 0x00 前言 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis提供数据结构,例如字符串、散列、列表、集合、带范围查询的排序集合、位图、超日志、地理空间索引和流。 R
继续阅读CVE-2024-45216|Apache Solr(插件)身份验证绕过漏洞
CVE-2024-45216|Apache Solr(插件)身份验证绕过漏洞 alicy 信安百科 2024-10-19 21:17 0x00 前言 Apache Solr是一个用于创建搜索应用程序的开源搜索平台,使用Java编写,主要基于 HTTP 和 Apache Lucene 实现。 Apache Solr也可以和Hadoop一起使用,由于Hadoop处理大量数据,Solr可帮助我们从如此大
继续阅读泛微E-Mobile /client.do 命令执行漏洞复现
泛微E-Mobile /client.do 命令执行漏洞复现 Superhero Nday Poc 2024-10-19 17:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并
继续阅读六大知名Web安全漏洞靶场
六大知名Web安全漏洞靶场 原创 筑梦网安 全栈安全 2024-10-19 15:30 如果想搞懂一个漏洞,最好的方法是先编写出这个漏洞,然后利用它,最后修复它。漏洞靶场模拟真实环境,它为网络安全人员提供了一个安全可控的平台,用于发现、评估和测试应用程序、系统或网络设备的安全漏洞。WEB漏洞靶场可帮助安全人员熟悉SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等漏洞利用过程。 0. 写在最
继续阅读【工具推荐】DockerApi未授权漏洞一键利用工具,适合攻防演练内网梭哈。
【工具推荐】DockerApi未授权漏洞一键利用工具,适合攻防演练内网梭哈。 小明同学 小明信安 2024-10-19 13:55 0x01 免责声明 disclaimer 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收集于互联网,真实性及安全性自测,如有侵权请联系删除。本次测试仅供
继续阅读「漏洞复现」某普SSL VPN 任意文件读取漏洞
「漏洞复现」某普SSL VPN 任意文件读取漏洞 冷漠安全 冷漠安全 2024-10-19 12:46 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!
继续阅读热乎的EDU证书站点漏洞挖掘
热乎的EDU证书站点漏洞挖掘 原创 zkaq – Tobisec 掌控安全EDU 2024-10-19 12:04 扫码领资料 获网安教程 本文由掌控安全学院 – Tobisec 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 今天也就是15号,出了某电力大学的漏洞证书(一大群人都在疯狂挖掘漏洞中,我也不
继续阅读WordPress BookingPress 插件存在远程文件写入漏洞0day分析(RCE)
WordPress BookingPress 插件存在远程文件写入漏洞0day分析(RCE) 原创 Mstir 星悦安全 2024-10-19 10:51 点击上方 蓝字关注我们 并设为 星标 0x00 前言 CVE-2024-6467 影响版本:<= 1.1.5 BookingPress 是一个成熟的预约插件,可让您在 WordPress 网站上根据您的要求轻松设置完整的预订系统。 任何想
继续阅读谷歌:2023年被利用的漏洞70%是0Day
谷歌:2023年被利用的漏洞70%是0Day 黑白之道 2024-10-19 09:20 谷歌Mandiant安全分析师警告称,攻击者发现和利用软件零日漏洞的能力增长已成为一个令人担忧的新趋势。在2023年披露的138个被积极利用的漏洞中,有97个(70.3%)是0 Day漏洞,意味着大量漏洞在被供应商知道或修补之前就被攻击者用来实施攻击。 从2020年到2022年,N Day漏洞和0 Day漏洞
继续阅读Kubernetes镜像生成器存在严重漏洞,允许未经授权的Root访问
Kubernetes镜像生成器存在严重漏洞,允许未经授权的Root访问 会杀毒的单反狗 军哥网络安全读报 2024-10-19 09:00 导读 Kubernetes Image Builder 中存在一个严重的安全风险 (CVE-2024-9486),允许未经授权的 root 访问,对容器化环境构成严重威胁。 Kubernetes Image Builder 出现了新的安全风险,对使用此工具管理
继续阅读内网常用38个漏洞nuclei-poc
内网常用38个漏洞nuclei-poc YanXi9999 黑客白帽子 2024-10-19 08:30 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 0x01 工具介绍 内网常用漏洞nuclei-poc汇总, 目前汇总了公开的所有海康威视漏洞。38个海康威视漏洞共40余个poc,尽量每种poc都使用两种匹配器,
继续阅读【漏洞情报】惊!安全圈众多师傅都在用的”它”,竟存在文件下载的bug?
【漏洞情报】惊!安全圈众多师傅都在用的”它”,竟存在文件下载的bug? 原创 隼目安全 隼目安全 2024-10-18 22:59 免责声明 ❝ 由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦
继续阅读明源云erp报表 geterpconfig 未授权访问漏洞
明源云erp报表 geterpconfig 未授权访问漏洞 原创 CatalyzeSec CatalyzeSec 2024-10-18 20:30 FOFA body="报表服务已正常运行" 漏洞复现 POC GET /service/Mysoft.Report.Web.Service.Base/GetErpConfig.aspx?erpKey=erp60 HTTP/1.1 H
继续阅读【开源工具】 – 从漏洞数据库搜索漏洞的工具go-exploitdb
【开源工具】 – 从漏洞数据库搜索漏洞的工具go-exploitdb 原创 宬室司阍 埋藏酱油瓶 2024-10-18 20:27 【开源工具】 – 从漏洞数据库搜索漏洞的工具go-exploitdb 【🔔】互联网资料/工具,安全性未知,需要自行研判安全性。 这是一个从某些漏洞数据库中搜索漏洞的工具。漏洞被插入到 sqlite 数据库(go-exploitdb)中,可以通过
继续阅读因漏洞频发、故障率高,英特尔产品被建议启动网络安全审查
因漏洞频发、故障率高,英特尔产品被建议启动网络安全审查 点击关注-> 智探AI应用 2024-10-18 19:22 来源: 中国网络空间安全协会 漏洞频发、故障率高 应系统排查英特尔产品网络安全风险 1.安全漏洞问题频发 2023年8月,英特尔CPU被曝存在Downfall漏洞,该漏洞是一种CPU瞬态执行侧信道漏洞,利用其AVX2或者AVX-512指令集中的Gather指令,获取特定矢量寄
继续阅读F5 BIG-IP 修复高危提权漏洞
F5 BIG-IP 修复高危提权漏洞 ByIonut Arghire 代码卫士 2024-10-18 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,F5发布2024年10月季度安全通知,修复了位于BIG-IP和BIG-IQ企业产品中的两个漏洞。 BIG-IP 更新修复了一个高危安全漏洞CVE-2024-45844,影响设备的监控功能,可导致认证攻击者提权并更改配置。F5
继续阅读Kubernetes Image Builder 严重漏洞导致节点易遭root访问
Kubernetes Image Builder 严重漏洞导致节点易遭root访问 THN 代码卫士 2024-10-18 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Kubernetes Image Bulder 中存在一个严重漏洞 (CVE-2024-9486),在某些情况下可被滥用于获取 root 访问权限。 该漏洞已在0.1.38中修复,项目维护人员向发现并报送该漏洞
继续阅读初学QEMU虚拟化漏洞利用——XNUCA2019-vexx分析
初学QEMU虚拟化漏洞利用——XNUCA2019-vexx分析 原创 LULU 红队蓝军 2024-10-18 18:02 QEMU 简介 QEMU(quick emulator)是一款由Fabrice Bellard等人编写的免费的可执行硬件虚拟化开源托管虚拟机(VMM)。 QEMU允许用户模拟完整的计算机系统,包括处理器和各种外设,这样可以在一个主机系统上运行一个或多个客户操作系统。 QEMU
继续阅读python 代码审计工具和TripleDoggy — 基于clang static analyzer的源码漏洞检测工具
python 代码审计工具和TripleDoggy — 基于clang static analyzer的源码漏洞检测工具 Urkc安全 2024-10-18 18:00 python 代码审计工具 python 代码审计工具 1,python的语法树 根据王垠的python静态分析工具PySonar得到静态语法树,这是一个庞大的dict结构,递归去除一些不必要的参数得到稍微简单点的一个
继续阅读