cve漏洞搜索工具 — cvemap
cve漏洞搜索工具 — cvemap 吾爱破解 黑客白帽子 2024-02-27 07:00 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 0x01 工具介绍 ProjectDiscovery组织开发的CVEMap 是一个开源命令行界面 (CLI) 工具,可让您探索常见漏洞。它旨在提供一个简化且用户友
继续阅读标签: 漏洞
致远OA rest接口重置密码漏洞分析
致远OA rest接口重置密码漏洞分析 船山信安 2024-02-27 00:00 复现环境 致远 V7.1SP1 补丁分析 致远官方在2023年8月发布了rest接口重置密码漏洞补丁,补丁链接https://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&
继续阅读全球首个面向 AI/ML 的漏洞赏金平台
全球首个面向 AI/ML 的漏洞赏金平台 原创 Fighter 重生者安全 2024-02-26 22:32 huntr 为安全研究人员提供了一个提交漏洞的单一位置,以确保 AI/ML 应用程序(包括由开源软件 (OSS) 提供支持的应用程序)的安全性和稳定性。 平台地址:https://huntr.com/leaderboard 喜欢朋友可以点点赞转发转发。 免责声明:本公众号不承担任何由于传播
继续阅读SQL注入漏洞引起的内网渗透 | 实战
SQL注入漏洞引起的内网渗透 | 实战 渗透安全团队 2024-02-26 22:06 一 、 前言 近期一直再学习内网渗透,实验什么的都是玩玩靶机。 这一天朋友说有个站点有漏洞,就发过来看了一些是一个SQL注入,继而开启了这次内网渗透。 水平有限,并且初学哈哈哈哈! 没有什么技术要点纯属误打误撞,如果有什么错误的地方希望大佬多多指点! 二 、 WEB点进入内网 这次渗透是从站库分离的情况下在深入
继续阅读【漏洞预警】Apache DolphinScheduler<3.2.1 任意代码执行漏洞CVE-2024-23320
【漏洞预警】Apache DolphinScheduler<3.2.1 任意代码执行漏洞CVE-2024-23320 cexlife 飓风网络安全 2024-02-26 21:13 漏洞描述:ApacheDolphinscheduler是开源的分布式任务调度系统,受影响版本中,由于 SwitchTaskUtils#generateContentWithTaskParams 方法未对用户可控的
继续阅读【漏洞预警】ConnectWise ScreenConnect身份验证绕过漏洞(CVE-2024-1709)
【漏洞预警】ConnectWise ScreenConnect身份验证绕过漏洞(CVE-2024-1709) cexlife 飓风网络安全 2024-02-26 21:13 漏洞描述: ConnectWise ScreenConnect是一款快速、灵活且安全的远程桌面和访问软件,可随时随地连接到任何设备,近日监测到ConnectWise ScreenConnect中修复了一个身份验证绕过漏洞(CV
继续阅读鸿运(通天星CMSV6车载)主动安全监控云平台存在任意文件读取漏洞 附POC软件
鸿运(通天星CMSV6车载)主动安全监控云平台存在任意文件读取漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-26 20:42 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 鸿运(通天星CMSV6车载)主动安全监控云平
继续阅读鸿运(通天星CMSV6车载)主动安全监控云平台存在敏感信息泄露漏洞 附POC软件
鸿运(通天星CMSV6车载)主动安全监控云平台存在敏感信息泄露漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-26 20:42 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 鸿运(通天星CMSV6车载)主动安全监控云平
继续阅读记一次逻辑漏洞挖洞经历
记一次逻辑漏洞挖洞经历 小安 迪哥讲事 2024-02-26 20:30 前言 前几天在网上冲浪的时候无意间看到了一个Edu的站点,是一个很常见的类似MOOC的那种在线学习系统,对外开放,同时有注册和登录功能。对于我这种常年低危的菜鸡来说,这是最愿意看到的,因为一个Web网站有了登录功能,就代表其网站必须要有权限划分,而有了权限划分,在这里的开发就容易出现很多问题,越权便是一种常见的问题。经过测试
继续阅读G.O.S.S.I.P 阅读推荐 2024-02-26 寻觅文件劫持漏洞
G.O.S.S.I.P 阅读推荐 2024-02-26 寻觅文件劫持漏洞 原创 G.O.S.S.I.P 安全研究GoSSIP 2024-02-26 20:26 看完上面这段话,有没有感觉到一种深深的绝望和恐惧?这里面涉及的就是我们今天要讨论的文件劫持漏洞(File Hijacking Vulnerability,FHVuln)。在今天分享的NDSS 2024论文File Hijacking Vul
继续阅读「深蓝洞察」2023 年度最费钱的漏洞
「深蓝洞察」2023 年度最费钱的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-26 19:48 22 年的一篇深蓝洞察 — 年度最具含金量漏洞 ,披露过当年、也是彼时历史上最大的单笔漏洞奖金,为 1000 万美元。 漏洞究竟价值如何,没有比 2023 年度发生的安全事件来得更直观的了。 以下为本期深蓝洞察年度安全报告的 第七篇 。 07 2023 年 9 月 27 日,一
继续阅读【安全圈】注意!ScreenConnect 漏洞正被广泛利用于恶意软件传播
【安全圈】注意!ScreenConnect 漏洞正被广泛利用于恶意软件传播 安全圈 2024-02-26 19:02 关键词 安全漏洞 影响 ConnectWise 的 ScreenConnect 远程桌面访问产品的严重漏洞已被广泛利用来传播勒索软件和其他类型的恶意软件。 ConnectWise 于 2 月 19 日通知客户,它已发布针对关键身份验证绕过缺陷和高严重性路径遍历问题的补丁。该安全漏洞
继续阅读上周关注度较高的产品安全漏洞(20240219-20240225)
上周关注度较高的产品安全漏洞(20240219-20240225) 原创 CNVD CNVD漏洞平台 2024-02-26 17:35 一、境外厂商产品漏洞 1、Shim缓冲区溢出漏洞 shim是一个SciDB的简单HTTP服务。Shim存在安全漏洞,该漏洞源于http启动支持中包含远程代码执行漏洞,可以绕过安全启动。攻击者可利用该漏洞执行任意代码。 参考链接: https://www.cnvd.
继续阅读【漏洞通告】WordPress Bricks Builder远程命令执行漏洞CVE-2024-25600
【漏洞通告】WordPress Bricks Builder远程命令执行漏洞CVE-2024-25600 深瞳漏洞实验室 深信服千里目安全技术中心 2024-02-26 17:13 漏洞名称: WordPress Bricks Builder远程命令执行漏洞(CVE-2024-25600) 组件名称: WordPress Bricks Builder 影响范围: WordPress Bricks
继续阅读雷神众测漏洞周报2024.2.19-2024.2.25
雷神众测漏洞周报2024.2.19-2024.2.25 原创 雷神众测 雷神众测 2024-02-26 15:39 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读新的 Linux glibc 漏洞可使网络攻击者获得主要发行版 root 权限
新的 Linux glibc 漏洞可使网络攻击者获得主要发行版 root 权限 网络安全应急技术国家工程中心 2024-02-26 15:04 非特权攻击者可以利用 GNU C 库 (glibc) 中新披露的本地权限提升 (LPE) 漏洞,在默认配置下获得多个主要 Linux 发行版的 root 访问权限。 该安全漏洞被追踪为CVE-2023-6246,是在 glibc 的 __vsyslog_i
继续阅读新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔”;
新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔”; 网安百色 2024-02-25 19:39 新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔”; 网络安全研究人员发现,在安卓、Linux 和 ChromeOS 设备的开源 Wi-Fi 软件中存在两个身份验证绕过漏洞。据悉,安全漏洞可能诱使用户加入合法网络的恶意“克隆”,允许威胁攻击者在没有密码的
继续阅读【安全圈】警告!ConnectWise 漏洞正被广泛利用,数千台服务器面临危险
【安全圈】警告!ConnectWise 漏洞正被广泛利用,数千台服务器面临危险 安全圈 2024-02-25 19:00 关键词 安全漏洞 ConnectWise 周二表示,一个严重的 ConnectWise ScreenConnect 漏洞正在被广泛利用,该漏洞使数千台服务器面临被接管的风险。 ConnectWise周一发布了 ScreenConnect 23.9.7 的安全修复程序,披露了两个
继续阅读[经验分享]-SRC漏洞挖掘之道
[经验分享]-SRC漏洞挖掘之道 点击关注👉 马哥网络安全 2024-02-25 18:00 一个 SRC 混子挖 SRC 的半年经验分享~, 基本都是文字阐述,希望能给同样在挖洞的师傅们带来一点新收获。 前期信息收集 还是那句老话, 渗透测试的本质是信息收集,对于没有 0day 的弱鸡选手来说,挖 SRC 感觉更像是对企业的资产梳理,我们往往需要花很长的时间去做信息收集,收集与此公司相关的信息,
继续阅读开源应用程序导致 XSS 到 RCE 漏洞缺陷
开源应用程序导致 XSS 到 RCE 漏洞缺陷 Ots安全 2024-02-25 17:09 跨站脚本 (XSS) 是 Web 应用程序中最常见的攻击之一。如果攻击者可以将 JavaScript 代码注入应用程序输出中,这不仅会导致 cookie 盗窃、重定向或网络钓鱼,而且在某些情况下还会导致系统完全受损。 在本文中,我将展示如何在 Evolution CMS、FUDForum 和 GitBuc
继续阅读【高危】浙江大华技术城市安防监控DSS系统存在信息泄露漏洞
【高危】浙江大华技术城市安防监控DSS系统存在信息泄露漏洞 皓月当空w 2024-02-25 14:19 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞早知道 漏洞名称: 浙江大华技术城市安防监控DSS系统存在信息泄露漏洞 漏洞出现时间:2024年2月25日 影响等级:高危 漏洞说明: 浙江大华技术股份有限公司城市安防监控DSS系统存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
继续阅读万户协同办公平台ezoffice text2Html接口存在任意文件读取漏洞 附POC软件
万户协同办公平台ezoffice text2Html接口存在任意文件读取漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-25 13:53 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 万户协同办公平台ezoffice简
继续阅读[漏洞复现-101] 免费星球它来了-马赛克安全情报共享(限免)
[漏洞复现-101] 免费星球它来了-马赛克安全情报共享(限免) 原创 马赛克安全实验室 马赛克安全实验室 2024-02-25 13:29 0x00免责声明 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读【漏洞情报 | 新】WordPres Bricks Builder 前台RCE漏洞(CVE-2024-25600)
【漏洞情报 | 新】WordPres Bricks Builder 前台RCE漏洞(CVE-2024-25600) Ts3a 划水但不摆烂 2024-02-25 07:31 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 产品简介 Bricks Builder是一款用于WordPre
继续阅读用友U8 Cloud smartweb2.RPC.d xxe漏洞
用友U8 Cloud smartweb2.RPC.d xxe漏洞 原创 fgz AI与网安 2024-02-25 07:27 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 先介绍下什么是XXE漏洞? XXE漏洞全称XML External Entity Inject
继续阅读实战中遇到的一些莫名其妙的漏洞
实战中遇到的一些莫名其妙的漏洞 船山信安 2024-02-25 00:00 前言 真实案例,文中所写漏洞现已经被修复,厚码分享也是安全起见,请各位大佬见谅哈! 案例一:奇怪的找回密码方式 某次漏洞挖掘的过程中,遇到某单位的登录框,按以往的流程测试了一下发现并没有挖掘出漏洞,在我悻悻地点开找回密码的功能并填入了基础信息之后,我发现他的业务流程与常见的安全的找回密码的方式并没有什么区别,都是需要接收到
继续阅读dedecms之汗流浃背的审计1day
dedecms之汗流浃背的审计1day 江南韵 湘安无事 2024-02-24 23:09 声明: 该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 前言: 又是我,深情哥大弟子江南韵( 压星河),最近跟着学了一手更新包审计
继续阅读Edusoho网络课堂cms存在任意文件读取漏洞 附POC软件
Edusoho网络课堂cms存在任意文件读取漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-24 23:08 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Edusoho网络课堂cms简介 微信公众号搜索:南风漏洞复现
继续阅读某CMS的通用漏洞挖掘过程 | 干货
某CMS的通用漏洞挖掘过程 | 干货 ShawnDing 渗透安全团队 2024-02-24 22:28 前言 本文所涉及的漏洞已提交CNVD且厂商已完成漏洞修复,请勿用于非授权测试!!! 现在比较严格,目标名称均以某CMS指代,见谅。 前言 本来计划在cnvd公开这个小漏洞的时候就把这篇小作文写了,最近一忙给整忘了,现在补上。 某次项目中遇到这个cms,进行了常规黑盒测试后没发现什么大问题,检查
继续阅读