【漏洞通告】VMware vCenter Server缓冲区溢出漏洞(CVE-2024-38812) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-09-19 17:47 漏洞名称: VMware vCenter Server缓冲区溢出漏洞(CVE-2024-38812) 组件名称: VMware-vCenter 影响范围: VMware vCenter Server 8.0 < 8.
继续阅读【安全科普】OSS存储桶漏洞总结 学网络安全到 开源聚合网络空间安全研究院 2024-09-19 16:53 网 安 教 育 培 养 网 络 安 全 人 才 技 术 交 流 、 学 习 咨 询 简介 OSS,对象存储服务,对象存储可以简单理解为用来存储图片、音频、视频等非结构化数据的数据池。相对于主机服务器,具有读写速度快,利于分享的特点。 OSS工作原理: 数据以对象(Object)的形式存储在
继续阅读GitLab SAML 认证绕过漏洞(QVD-2024-40180)安全风险通告 奇安信 CERT 2024-09-19 16:16 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GitLab SAML 认证绕过漏洞 漏洞编号 QVD-2024-40180,CVE-2024-45409 公开时间 2024-09-17 影响量级 百万级 奇安信评级 高危 CVSS 3.1分数
继续阅读【在野利用】Ivanti Cloud Service Appliance 命令注入漏洞(CVE-2024-8190)安全风险通告 奇安信 CERT 2024-09-19 16:16 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Cloud Service Appliance 命令注入漏洞 漏洞编号 QVD-2024-39367,CVE-2024-8190 公开时
继续阅读上周关注度较高的产品安全漏洞(20240909-20240915) 国家互联网应急中心CNCERT 2024-09-19 11:58 一、境外厂商产品漏洞 1、 Siemens SIMATIC SCADA和PCS 7 systems远程代码执行漏洞 SIMATIC Information Server用于报告和可视化存储在SIMATIC process Historian中的过程数据。SIMATI
继续阅读Gmail 中的 HTML 表单注入漏洞 原创 骨哥说事 骨哥说事 2024-09-18 22:22 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ 前言 你是否知道 Gmail 允许使用 HT
继续阅读手把手edusrc漏洞挖掘和github信息收集 想当文人的黑客 Z2O安全攻防 2024-09-18 21:07 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任
继续阅读【安全圈】VMware vCenter Server 漏洞让攻击者能够执行远程代码 安全圈 2024-09-18 19:00 关键词 安全漏洞 据Cyber Security News消息,VMware 披露了两个影响其 vCenter Server 和 Cloud Foundation 产品的关键安全漏洞,这些漏洞可能允许攻击者执行远程代码并提升权限。该公司敦促客户立即修补受影响的系统。 其中一
继续阅读全文干货!Redis漏洞利用详解 (下) 原创 LULU 红队蓝军 2024-09-18 19:00 redis主从复制getshell redis当读写体量比较大的时候,影响服务端效率,从而Redis就提供了主从模式,主从模式就是指使用一个redis实例作为主机,其他实例都作为备份机,其中主机和从机数据相同,而从机只负责读,主机只负责写,通过读写分离可以减轻流量 在全量复制过程中,恢复rdb文件
继续阅读今日更新第十章录播!0day windows 看雪课程 看雪学苑 2024-09-18 18:05 今日更新: – 10.2 double free漏洞挖掘实战(作业) 10.3 uaf漏洞挖掘实战(作业) 10.4 本章小结 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因
继续阅读雷神众测漏洞周报2024.09.09-2024.09.17 原创 雷神众测 雷神众测 2024-09-18 17:12 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Google Cloud 依赖混淆漏洞影响数百万台服务器 Ionut Arghire 代码卫士 2024-09-18 16:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Tenable 公司分享了一种依赖混淆攻击方法,本可将 Google Cloud Platform (GCP) 客户暴露到远程代码执行攻击中。 该问题被命名为 “CloudImposer”,本可导致攻击者劫持在谷歌
继续阅读博通修复 VMware vCenter Server 中的严重RCE漏洞 Sergiu Gatlan 代码卫士 2024-09-18 16:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 博通修复了一个严重的 VMware vCenter Server 漏洞,可被攻击者通过网络数据包在未修复服务器上获得远程代码执行能力。 vCenter Server 是 VMware 的 vSpher
继续阅读VMware vCenter Server 堆溢出漏洞(CVE-2024-38812)安全风险通告 奇安信 CERT 2024-09-18 15:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 VMware vCenter Server 堆溢出漏洞 漏洞编号 QVD-2024-39988,CVE-2024-38812 公开时间 2024-09-17 影响量级 万级 奇安信
继续阅读黑客自 8 月以来频繁利用公开漏洞攻击 WhatsUp Gold 胡金鱼 嘶吼专业版 2024-09-18 14:01 黑客一直在利用 Progress Software 的 WhatsUp Gold 网络可用性和性能监控解决方案中两个严重漏洞的公开漏洞代码。 自 8 月 30 日以来,攻击中利用的两个漏洞是 SQL 注入漏洞,跟踪编号为 CVE-2024-6670 和 CVE-2024-6671
继续阅读FortiGate SSLVPN 堆溢出漏洞分析与利用 原创 林昀 山石网科安全技术研究院 2024-09-18 12:15 漏洞信息 处理env参数时存在逻辑缺陷,导致堆溢出写,漏洞利用可以导致任意代码执行。(CVE-2023-27997) 环境搭建 导入虚拟机 打开 vmware 左上角 文件 -> 打开虚拟机 -> 选择 FortGate-VM64.ovf 直接就能运行 fort
继续阅读漏洞通告 | Ivanti Cloud Service Appliance 命令注入漏洞(CVE-2024-8190) 原创 微步情报局 微步在线研究响应中心 2024-09-18 11:50 漏洞概况 Ivanti Cloud Service Appliance (CSA) 是 Ivanti 提供的一款本地部署的虚拟设备,旨在简化和增强 Ivanti 产品与云服务的集成。 微步情报局于近日获取到
继续阅读漏洞推送|Array Networks APV应用交付系统命令执行漏洞 原创 小白菜安全 小白菜安全 2024-09-17 22:03 漏洞描述 顺景ERP管理系统UploadInvtSpFile存在任意文件上传漏洞,攻击者可上传恶意文件控制服务器 。 资产信息 FOFA: app=”Array-APV” 漏洞复现 POC POST /restapi/../rest/pin
继续阅读漏洞挖掘 | 记某大学信息服务平台密码重置缺陷 原创 zkaq – 98k 掌控安全EDU 2024-09-17 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – 98k 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 这篇文章是在一个大学的站点进行测试的时候发现的,也是直接拿fofa找该域名相
继续阅读黑盒测试 | 挖掘.NET程序中的反序列化漏洞 白帽子左一 白帽子左一 2024-09-17 12:01 扫码领资料 获网安教程 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 通过不安全反序列化漏洞远程执行代码 img 今天,我将回顾 OWASP 的十大漏洞之一:不安全反序列化,重点是 .NET 应用程序上反序列化漏洞的利用。 📝$ _序列化_与_
继续阅读「漏洞复现」唯徳知识产权管理系统 DownloadFileWordTemplate 文件读取漏洞 冷漠安全 冷漠安全 2024-09-17 10:04 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,
继续阅读使用Joern进行漏洞挖掘(Joern支持Android漏洞挖掘) 哆啦安全 2024-09-17 09:31 使用 Joern 进行漏洞挖掘 曾几何时,在 代码安全审计之道 一文中介绍了一些形而上学的代码审计方法论,在该文章提及未来会继续介绍一些具体的漏洞挖掘工具和技巧,即代码安全审计之术。正所谓白驹过隙,光阴荏苒,不知不觉两年多过去了,由于怠惰一直没有动笔。不过我也一直没有忘记这茬,正好最近
继续阅读某群管理系统全版本存在登录绕过漏洞 原创 儒道易行 儒道易行 2024-09-16 18:00 心里的火永远不要灭,哪怕别人只能看到烟。 漏洞实战 访问url: 登录界面如下: 输入错误的账号密码: 修改返回包: 成功登录: 文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。 免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为
继续阅读小程序渗透 | 利用ce修改器挖掘内存修改漏洞 原创 zkaq-lao六 掌控安全EDU 2024-09-16 12:03 扫码领资料 获网安教程 本文由掌控安全学院 – lao六 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) CE修改器原理 ce修改器可以修改内存数值,因为有些程序会把一些值放在本地,然后改动的时候访问的本地的
继续阅读漏洞挖掘 | 发现隐藏子域的虚拟主机 原创 白帽子左一 白帽子左一 2024-09-16 12:01 扫码领资料 获网安教程 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 高效虚拟主机发现的工具和技术 在进行外部渗透测试或漏洞赏金狩猎时,我们从各个角度探索目标系统,收集尽可能多的信息来识别潜在的攻击向量。这涉及识别所有可用的资产、域和子域。 在这个
继续阅读「漏洞复现」用友U8 Cloud AddTaskDataRightAction SQL注入漏洞 冷漠安全 冷漠安全 2024-09-16 10:27 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读2024年推出的11个顶级漏洞悬赏项目 晶颜123 FreeBuf 2024-09-16 09:30 漏洞悬赏计划仍然是2024年网络安全战略的重要组成部分,为组织提供了从各种网络安全专业人员和研究人员那里获得帮助的能力。Bugcrowd、HackerOne、Synack、YesWeHack和integriti等领先的漏洞奖励平台将道德黑客与组织联系起来,为漏洞披露和解决方案提供结构化框架,并为成
继续阅读代码审计 | phpcmsV9.6超详细RCE代审流程 实战安全研究 2024-09-16 09:01 扫码领资料 获网安教程 本文由掌控安全学院 – 郑居中 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 前言: 在代码审计中,漏洞出现都与数据输入有关。要跟用户输入的数据走,从数据流到控制流,看数据是否绕过,到达控制流 环境搭建
继续阅读漏洞预警 | 泛微E-Cology SQL注入漏洞 浅安 浅安安全 2024-09-16 08:30 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。 0x03
继续阅读赏金15000美元的 RCE 迪哥讲事 2024-09-15 21:30 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ 预祝各位中秋快乐,身体健康! 背景介绍 你是否遇到过明知一个端点可能很容
继续阅读