API攻防 | Web API 安全漏洞挖掘指南!
API攻防 | Web API 安全漏洞挖掘指南! 匿名白帽子 WK安全 2024-11-25 06:40 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏
继续阅读标签: 行业
违反《网络安全法》相关规定,快手被依法处罚;警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 | 牛览
违反《网络安全法》相关规定,快手被依法处罚;警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 | 牛览 安全牛 2024-11-25 06:30 点击蓝字·关注我们 / aqniu 新闻速览 •四部门联合开展“清朗·网络平台算法典型问题治理”专项行动 •违反《网络安全法》相关规定,快手被依法处罚 •远程链式WiFi攻击手法曝光,传统物理接近已非必需 •APT组织Gels
继续阅读【文末送书】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
【文末送书】发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! 异步图书 道一安全 2024-11-25 03:00 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,Hack
继续阅读「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞
「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞 冷漠安全 冷漠安全 2024-11-25 02:58 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他
继续阅读静水深流 | 第2届BUGPWN TSCM黑盒挑战赛 • 顺利闭幕
静水深流 | 第2届BUGPWN TSCM黑盒挑战赛 • 顺利闭幕 请杨叔吃日料 全频带阻塞干扰 2024-11-25 00:36 篇首语: 不知不觉,又迎来第2届BUGPWN赛事,整个团队为此连续加班数周,总算幸不辱命,在各参赛队、海外评委与合作方的共同协作,以及监管单位的指导下,再次顺利闭幕 。 声明:以下内容均来自RC²反窃密实验室联合承办的正式赛事活动,活动均已向监管单位报备,一切均在合法
继续阅读【0Day】《黄药师》药业管理软件SetMedia_Picture_info存在SQL注入漏洞导致RCE
【0Day】《黄药师》药业管理软件SetMedia_Picture_info存在SQL注入漏洞导致RCE xiachuchunmo 银遁安全团队 2024-11-24 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 资产测绘 漏洞简介 **黄药师药店管理是专为零售药店打造的管理软件,集综合进销存管理,会员管理,GSP管理等于一身,其直观的界面,简
继续阅读威胁情报的尴尬:是个好能力,但不是个好生意!
威胁情报的尴尬:是个好能力,但不是个好生意! 原创 晓兵Jason 锐安全 2024-11-24 14:24 如果加星标,可以及时收到推送 《安全晓说》第 65 篇, 锐安全总第 294 篇原创 本文 1265 字,阅读时长约 4 分钟 威胁情报生意 ,今天 可以了解以下内容: 【1】威胁情报的商业价值不高 【2】威胁情报的产品不值钱 【3】威胁情报的生态发展没动力 【4】威胁情报生意应该怎么做?
继续阅读2024年10月涉国内数据泄露事件汇总
2024年10月涉国内数据泄露事件汇总 黑白之道 2024-11-24 00:32 数世咨询联合零零信安共同发布了《数据泄露态势》月度报告,报告基于0.zone安全开源情报系统,监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。报告显示,2024年10月共监控到全球DWM(Dark Web Market)深网和暗网有效情报128,827份,泄露数据的高价值买卖情报3,238份。 从行业分布
继续阅读【漏洞复现】通达OA submenu存在前台SQL注入漏洞
【漏洞复现】通达OA submenu存在前台SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-23 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台
继续阅读JeecgBoot小于3.6.0版本存在SQL注入漏洞
JeecgBoot小于3.6.0版本存在SQL注入漏洞 船山信安 2024-11-23 16:01 接口/sys/api/queryFilterTableDictInfo存在SQL注入漏洞 通过审计jeecgboot 3.6.0源代码,发现jeecgboot表接口存在SQL注入漏洞,通过构造表名和字段名,直接获取到数据库中的数据。 漏洞代码: 参数table、text、code可以直接带入到前端u
继续阅读网络安全顶刊——TIFS 2024 论文清单与摘要(2)
网络安全顶刊——TIFS 2024 论文清单与摘要(2) 漏洞战争 漏洞战争 2024-11-23 02:26 87、Covert Transmission in Water-to-Air Optical Wireless Communication Systems 隐蔽通信通过确保合法接收者(Bob)能够满意地解码,同时隐藏信息传输,使其不被警惕的对手(Willie)发现。在本文中,我们提出了一
继续阅读网络安全顶刊——TIFS 2024 论文清单与摘要(4)
网络安全顶刊——TIFS 2024 论文清单与摘要(4) 漏洞战争 漏洞战争 2024-11-23 02:26 256、PrivGrid: Privacy-Preserving Individual Load Forecasting Service for Smart Grid 基于智能电表的个体负载预测在智能电网和家庭能源管理中的应用越来越广泛。传统的负载预测系统从用户的智能电表中以明文形式收集
继续阅读5th域安全微讯早报【20241123】282期
5th域安全微讯早报【20241123】282期 网空闲话 网空闲话plus 2024-11-23 01:25 2024-11-23 星期六**Vol-2024-282 今日热点导读 **1. 乘客要求审计TSA识别技术的隐私与准确性 2. 美国司法部要求谷歌剥离Chrome以严重搜索垄断 3. 《2024年医疗保健网络安全和弹性法案》聚焦加强医疗数据保护 4. 英国饮用水供应因网络事件频发而中断
继续阅读【未公开】HertzBeat(赫兹跳动) 开源实时监控系统存在默认口令漏洞
【未公开】HertzBeat(赫兹跳动) 开源实时监控系统存在默认口令漏洞 xiachuchunmo 银遁安全团队 2024-11-22 23:04 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **HertzBeat(赫兹跳动) 是一个开源实时监控系统,无需Agent,性能集群,兼容Prometheus,自定义监控和状态页构建能力。HertzB
继续阅读漏洞盒子特供服务:组建“白帽全明星红队”,企业攻防演练定向“星”选择
漏洞盒子特供服务:组建“白帽全明星红队”,企业攻防演练定向“星”选择 诸葛象 FreeBuf 2024-11-22 11:30 “网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”近几年攻防演练趋向常态化,受到各行各业的高度重视,快速成为检验和持续促进企业安全水平的常规手段。 然而面对的紧迫攻防形势,安全厂商可支配的红队(攻击队)资源有限, 具有丰富实战经验的优秀红队人才往往 供不应求, 而不
继续阅读网安周讯 | 间谍利用监控系统漏洞,试图窃取我国国家秘密(十一月第4期)
网安周讯 | 间谍利用监控系统漏洞,试图窃取我国国家秘密(十一月第4期) 网安加社区 2024-11-22 10:11 专家群聊 扫码进群,与行业专家深入交流探讨 或添加安仔微信号:xiaoankt02 , 邀请进群 往期推荐 1. 网安周讯 | 支付宝崩了!网友反映:支付失败、被重复扣款…(十一月第3期) 2. 网安周讯 | 以安全风险为由,又一国家“封禁”TikTok(十一月第2期 ) 点击
继续阅读九思OA dl.jsp 任意文件读取漏洞复现及POC
九思OA dl.jsp 任意文件读取漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-11-22 08:43 FOFA body="/jsoa/login.jsp" 漏洞复现 将payload进行base64编码 POC POST /jsoa/dl.jsp?JkZpbGVOYW1lPS4uLy4uLy4uL1dFQi1JTkYvd2ViLnhtb
继续阅读从 OSWE 视角看 Web 安全:超越常规,直击代码核心漏洞
从 OSWE 视角看 Web 安全:超越常规,直击代码核心漏洞 安全牛课堂 2024-11-22 03:30 现代 Web 应用程序构建于多层技术架构之上,涵盖前端的 HTML、CSS 和 JavaScript,后端的多种服务器端编程语言(例如 PHP、Java、.NET 等)以及数据库管理系统。 各组件间的交互错综复杂,为攻击者创造了众多可乘之机。 例如: 前端 JavaScript 代码若存在
继续阅读2023年最常被利用的漏洞(文末附下载)
2023年最常被利用的漏洞(文末附下载) 计算机与网络安全 2024-11-21 23:57 进网络安全行业群 微信公众号 计算机与网络安全 回复 行业群 本文提供了由创作机构收集和汇编的关于2023年恶意网络行为者常规和频繁利用的常见漏洞和暴露(CVE)及其相关的常见弱点列举(CWE)的详细信息。与2022年相比,恶意网络行为者在2023年利用了更多零日漏洞来危害企业网络,使他们能够针对高优先
继续阅读【未公开】安科瑞企业用电监控预警系统存在SQL注入漏洞
【未公开】安科瑞企业用电监控预警系统存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-21 23:04 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **安科瑞现有研发工程技术人才500多人,聚焦用户侧能效系统和能源互联网,具备从云平台软件到终端元器件的一站式服务能力,形成了“云-边-端”的能源互联网生态体系,目前已有1
继续阅读创宇安全智脑 | D-Link ShareCenter sc_mgr.cgi 远程命令执行等81个漏洞可检测
创宇安全智脑 | D-Link ShareCenter sc_mgr.cgi 远程命令执行等81个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-11-21 09:18 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实
继续阅读【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208)
【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208) 安迈信科应急响应中心 2024-11-21 03:50 01 漏洞概况 MTA在18.12.17之前版本的OFBiz中,由于权限控制不当,攻击者可以构造恶意请求通过服务端请求伪造(SSRF)的方式执行任意代码,导致服务器失陷。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Apache OFBiz远程代
继续阅读【漏洞通告】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2024-0012)
【漏洞通告】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2024-0012) 安迈信科应急响应中心 2024-11-21 03:50 01 漏洞概况 Palo Alto Networks PAN-OS的WEB界面存在一个身份验证绕过漏洞,未经授权的攻击者可以利用该漏洞访问管理控制台,执行管理操作或提升权限,严重可导致服务器失陷。02 漏洞处置综合处置优先
继续阅读【漏洞通告】Windows 任务计划程序特权提升漏洞 (CVE-2024-49039)
【漏洞通告】Windows 任务计划程序特权提升漏洞 (CVE-2024-49039) 安迈信科应急响应中心 2024-11-21 03:50 01 漏洞概况 Windows 任务计划程序是系统中的一个组件,可以预先计划在特定时间或指定时间后启动程序或脚本,还可以设置为响应事件的触发形式。其中存在权限提升漏洞,攻击者可以利用该漏洞在目标系统获取更高的权限。02 漏洞处置综合处置优先级:高
继续阅读安全通告丨网络安全漏洞通告(2024年11月)
安全通告丨网络安全漏洞通告(2024年11月) 创信华通 2024-11-21 03:15 作为国内权威的安全漏洞通告组织,创信华通基于自身的威胁情报和漏洞挖掘能力,对全球最新的安全漏洞及安全事件进行跟踪研究,在第一时间向用户提供高危漏洞、威胁攻击的解决办法及情报资讯,以帮助用户提升网络安全的预警和响应能力。 一、 漏洞态势 / 2024.11 高危漏洞预警 在第一时间内向用户发布高危漏洞预警,通
继续阅读网安趋势?谷歌宣布AI首次发现内存安全漏洞
网安趋势?谷歌宣布AI首次发现内存安全漏洞 菜鸟学信安 2024-11-21 00:55 近日,谷歌宣布其大语言模型(LLM)项目“Big Sleep”成功发现了一个SQLite数据库引擎中的内存安全漏洞 ,这是人工智能首次在真实软件中发现可利用的内存安全漏洞(且该漏洞无法通过传统的模糊测试检测到)。 在谷歌近期的公告中透露,Big Sleep项目的LLM代理在实验阶段成功识别出第一个真实
继续阅读事关个人,5G基带存在重大安全漏洞!黑客可直接监控手机。
事关个人,5G基带存在重大安全漏洞!黑客可直接监控手机。 原创 山西哥谭小丑 明暗安全 2024-11-20 16:03 5G基带安全漏洞曝光,黑客可轻松监控手机,华为能否规避? 2024年初,全球网络安全会议上,宾夕法尼亚大学的研究团队发布了一项惊人的报告:全球5G基带存在重大安全漏洞,黑客可通过这一漏洞悄无声息地监控用户手机。这一发现不仅震惊了全球通信行业,也让普通用户对手机的安全性产生了巨大
继续阅读网安瞭望台第 2期:零日漏洞密集爆发、2024年常见网络安全漏洞类型及分析
网安瞭望台第 2期:零日漏洞密集爆发、2024年常见网络安全漏洞类型及分析 原创 扬名堂 东方隐侠安全团队 2024-11-20 12:20 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 Ubuntu 服务器 Needrestart 软件包惊现严重安全漏洞 近日,Ubuntu 服务器(自 21.04 版本起默认安装)
继续阅读美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露;ChatGPT沙箱环境存多个严重安全隐患,仅20%漏洞被修复 | 牛览
美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露;ChatGPT沙箱环境存多个严重安全隐患,仅20%漏洞被修复 | 牛览 安全牛 2024-11-20 12:16 点击蓝字·关注我们 / aqniu 新闻速览 •2024年世界互联网大会“互联网之光”博览会在浙江乌镇开幕 •《工业和信息化领域数据安全合规指引》联合发布 •美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露 •ClickFi
继续阅读