OWASP发布2025十大智能合约安全漏洞
OWASP发布2025十大智能合约安全漏洞 中科天齐软件安全中心 2025-02-06 10:00 点击 蓝字 关注中科天齐 随着去中心化金融(DeFi)和区块链技术的不断发展,智能合约安全的重要性愈发凸显。在此背景下,开放网络应用安全项目(OWASP)发布了备受期待的《2025年智能合约十大漏洞》报告。 这份最新报告反映了不断演变的攻击向量,深入剖析了近年来的常见漏洞及缓解策略。旨在提升Web3
继续阅读标签: 访问控制
一次OSS存储桶的任意数据上传挖掘
一次OSS存储桶的任意数据上传挖掘 白帽子左一 白帽子左一 2025-02-05 07:28 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 第一步:识别目标 在随意浏览目标网站时,我遇到了一个 403 Forbidden 响应。 img 第二步:技术检测 我使用 Wappalyzer 浏览器扩展来分析目标所使用的技术。结果
继续阅读【漏洞复现】锐明Crocus系统存在任意文件读取漏洞
【漏洞复现】锐明Crocus系统存在任意文件读取漏洞 PokerSec PokerSec 2025-02-05 01:00 先关注,不迷路,成为你渗透大师路上的王牌. 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞介绍 深圳市锐明技术股
继续阅读Active Directory Domain Services 权限提升漏洞 (CVE-2025-21293)
Active Directory Domain Services 权限提升漏洞 (CVE-2025-21293) BirkeP securitainment 2025-02-03 02:24 【翻译】Active Directory Domain Services Elevation of Privilege Vulnerability (CVE-2025-21293) A tale of me
继续阅读CVE-2025-0065:TeamViewer 修补 Windows 客户端中的权限提升漏洞
CVE-2025-0065:TeamViewer 修补 Windows 客户端中的权限提升漏洞 Ots安全 2025-02-01 08:45 TeamViewer 是一款流行的远程访问和支持软件,它发布了一个关键安全公告,解决了一个漏洞,该漏洞可能允许攻击者在 Windows 系统上获得提升的权限。该漏洞被追踪为 CVE-2025-0065,CVSS 评分为 7.8(高),影响版本 15.62 之
继续阅读一个URL参数就能黑掉整个网站?这个漏洞价值10万美金
一个URL参数就能黑掉整个网站?这个漏洞价值10万美金 原创 VlangCN HW安全之路 2025-01-27 04:42 在网络安全领域,IDOR(不安全的直接对象引用)是一种常见但极具危害的漏洞。它的存在可能导致未经授权的数据访问 、权限提升 ,甚至可能彻底破坏应用程序的安全。对于漏洞赏金猎人和安全测试人员来说,掌握 IDOR 漏洞的检测和利用方法,既是提升技能的重要途径,也是发现高价值漏洞
继续阅读SonicWall 呼吁立即修补可能被利用的严重 CVE-2025-23006 缺陷
SonicWall 呼吁立即修补可能被利用的严重 CVE-2025-23006 缺陷 邑安科技 邑安全 2025-01-24 07:43 更多全球网络安全资讯尽在邑安全 SonicWall 提醒客户注意一个影响其安全移动访问 (SMA) 1000 系列设备的严重安全漏洞,它表示该漏洞可能已被作为零日漏洞在野外利用。该漏洞被跟踪为 CVE-2025-23006,在 CVSS 评分系统上被评为 9.8
继续阅读记一次IDOR 和访问控制缺失漏洞挖掘
记一次IDOR 和访问控制缺失漏洞挖掘 白帽子左一 白帽子左一 2025-01-23 04:02 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 测试 IDOR(不安全的直接对象引用) 漏洞时,我会使用一系列工具,确保不会遗漏任何问题。以下是我的测试方法: 设置 Firefox 和 Pwnfox: 1、我使用 Firefox
继续阅读OWASP 2025年十大漏洞
OWASP 2025年十大漏洞 铸盾安全 河南等级保护测评 2025-01-22 16:00 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键 漏洞 的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安全性的重要性从未如此明显。最新列表反
继续阅读【漏洞通告】Oracle WebLogic Server远程代码执行与拒绝服务漏洞
【漏洞通告】Oracle WebLogic Server远程代码执行与拒绝服务漏洞 原创 NS-CERT 绿盟科技CERT 2025-01-22 09:56 通告编号:NS-2025-0006 2025-01-22 TAG: Oracle WebLogic、CVE-2025-21535、CVE-2025-21549 漏洞危害: 攻击者利用此次漏洞,可实现远程代码执行与拒绝服务。 版本: 1.0 1
继续阅读OWASP 2025年十大漏洞–被利用/发现的最严重漏洞
OWASP 2025年十大漏洞–被利用/发现的最严重漏洞 何威风 祺印说信安 2025-01-22 00:03 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键 漏洞 的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安全性的重要性从未如
继续阅读【安全圈】OWASP 2025 年十大漏洞 – 被利用/发现的最严重漏洞
【安全圈】OWASP 2025 年十大漏洞 – 被利用/发现的最严重漏洞 安全圈 2025-01-21 19:01 关键词 安全漏洞 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键漏洞的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安
继续阅读126个Linux内核漏洞可让攻击者利用78个 Linux子系统
126个Linux内核漏洞可让攻击者利用78个 Linux子系统 何威风 祺印说信安 2025-01-21 16:03 Canonical 发布了一个重要的安全补丁,以解决Xilinx ZynqMP 处理器 的 Linux 内核中的几个严重漏洞,建议 Ubuntu 22.04 LTS 用户立即更新他们的系统。 Xilinx Zynq UltraScale+ MPSoC (ZynqMP) 的 Lin
继续阅读OWASP 2025 年 10 大漏洞
OWASP 2025 年 10 大漏洞 网安百色 2025-01-21 11:29 点击上方 蓝字 关注我们吧~ OWASP于 2025 年 1 月 21 日发布了《2025 年十大安全漏洞》报告。随着去中心化金融(DeFi)和区块链技术的持续发展,确保智能合约安全的重要性愈发凸显。最新的列表反映了不断演变的攻击向量,突出了近年来被广泛利用或新发现的漏洞。 2025 年 OWASP 十大漏洞: 1
继续阅读T1059.009 命令执行:云API异常调用
T1059.009 命令执行:云API异常调用 原创 DarkLuke SecLink安全空间 2025-01-20 18:38 全文共计1548字,预计阅读8分钟 在本系列文章中,我们将探讨基于Mitre ATT&CK框架的TTP战术,如何在不同环境(云、企业、ICS)和场景下制定行之有效的检测规则,并且围绕实际攻击场景、检测、响应与调优展开。 本文主要介绍「T1059.009 云API
继续阅读【风险通告】Rsync存在多个高危漏洞
【风险通告】Rsync存在多个高危漏洞 安恒研究院 安恒信息CERT 2025-01-20 09:50 漏洞公告 近日,安恒信息CERT监测到Rsync存在多个高危漏洞,由于代码中未正确处理攻击者控制的校验和长度(s2length),当MAX_DIGEST_LEN超过固定SUM_LENGTH(16字节)时,攻击者可以在sum2缓冲区中越界写入(CVE-2024-12084)。当Rsync比较文件校
继续阅读【风险提示】Rsync 缓冲区溢出与信息泄露漏洞(CVE-2024-12084 / CVE-2024-12085)
【风险提示】Rsync 缓冲区溢出与信息泄露漏洞(CVE-2024-12084 / CVE-2024-12085) 长亭安全应急响应中心 2025-01-17 15:48 Rsync 是 Samba.org 团队开发的网络数据同步工具,广泛应用于本地或远程环境的文件同步。Rsync Daemon(Rsyncd)则是 Rsync 提供的服务端进程(需要手动开启),主要用于远程文件同步、公开镜像站管理
继续阅读【漏洞通告】疑似CVE-2024-55591POC
【漏洞通告】疑似CVE-2024-55591POC 混子Hacker 混子Hacker 2025-01-17 09:26 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 路虽远行则将至,事虽难做则必成 —— CVE-2024-5559
继续阅读【已复现】Fortinet FortiOS/FortiProxy 认证绕过漏洞(CVE-2024-55591)
【已复现】Fortinet FortiOS/FortiProxy 认证绕过漏洞(CVE-2024-55591) 长亭安全应急响应中心 2025-01-16 14:13 FortiOS 是 Fortinet 公司核心的网络安全操作系统,广泛应用于 FortiGate 下一代防火墙,为用户提供防火墙、VPN、入侵防御、应用控制等多种安全功能。FortiProxy 则是 Fortinet 提供的企业级安
继续阅读Ivanti修复Endpoint Manager中的多个严重漏洞
Ivanti修复Endpoint Manager中的多个严重漏洞 THN 代码卫士 2025-01-16 10:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司已发布安全更新,修复了影响 Avalanche、Application Control Engine和Endpoint Manager (EPM) 中的多个漏洞,其中的四个严重漏洞可导致信息泄露。 这四个严重漏
继续阅读【漏洞通告】FortiOS and FortiProxy身份验证绕过漏洞安全风险通告
【漏洞通告】FortiOS and FortiProxy身份验证绕过漏洞安全风险通告 嘉诚安全 2025-01-16 07:28 漏洞背景 近日,嘉诚安全监测到Fortinet官方发布安全公告,确认其下一代防火墙产品FortiGate(FortiOS)和代理产品 FortiProxy中存在一个高危的认证绕过漏洞,漏洞编号为: CVE-2024-55591。 FortiOS是Fortinet公司核心
继续阅读GiveWP 插件发现严重安全漏洞,影响超 100,000 活跃安装
GiveWP 插件发现严重安全漏洞,影响超 100,000 活跃安装 中泊研团队 中泊研安全应急响应中心 2025-01-15 02:01 近日,在 GiveWP 插件中发现了一个严重漏洞,该插件是 WordPress 使用最广泛的在线捐赠和筹款工具之一。该漏洞被跟踪为 CVE-2025-22777,CVSS 评分为9.8的严重级别 ,可能被攻击者利用以远程控制目标网站。这一事件牵涉到超过 100
继续阅读【漏洞通告】Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282)
【漏洞通告】Ivanti多款产品缓冲区溢出漏洞(CVE-2025-0282) 启明星辰安全简讯 2025-01-14 08:17 一、漏洞概述 漏洞名称 Ivanti多款产品缓冲区溢出漏洞 CVE ID CVE-2025-0282 漏洞类型 缓冲区溢出 发现时间 2025-01-14 漏洞评分 9.0 漏洞等级 严重 攻击向量 网络 所需权限 低 利用难度 高 用户交互 无 PoC/EXP 未
继续阅读上周关注度较高的产品安全漏洞(20250106-20250112)
上周关注度较高的产品安全漏洞(20250106-20250112) 国家互联网应急中心CNCERT 2025-01-14 08:15 一、境外厂商产品漏洞 1、Fortinet FortiEDR访问控制错误漏洞(CNVD-2025-00410)**** Fortinet FortiEDR是美国飞塔(Fortinet)公司的一个从头开始构建的端点安全解决方案。Fortinet FortiEDR存在访
继续阅读雷神众测漏洞周报2025.1.6-2025.1.12
雷神众测漏洞周报2025.1.6-2025.1.12 原创 雷神众测 雷神众测 2025-01-13 09:12 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读【技术细节公开】Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)安全风险通告
【技术细节公开】Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)安全风险通告 奇安信 CERT 2025-01-13 08:25 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti 多款产品缓冲区溢出漏洞 漏洞编号 QVD-2025-1974,CVE-2025-0282 公开时间 2025-01-08 影响量级 十万级 奇安信评级 高危 CVSS 3
继续阅读通过高效的侦察发现关键漏洞接管整个IT基础设施
通过高效的侦察发现关键漏洞接管整个IT基础设施 白帽子左一 白帽子左一 2025-01-13 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 在这篇文章中, 我将深入探讨我是如何通过详细分析和利用暴露的端点、硬编码的凭据以及配置错误的访问控制,成功获取目标组织关键IT基础设施和云服务访问权限的全过程。 我们先提到
继续阅读什么是重保?期间都做些什么?有哪些重要影响?
什么是重保?期间都做些什么?有哪些重要影响? 原创 洁说安全 网络安全和等保测评 2025-01-12 23:00 重保即重点保障时期,通常是指在一些重大活动、关键敏感时期,为了确保特定范围内的网络安全、信息系统稳定运行、关键基础设施安全等所采取的一系列强化保障措施的阶段。 重保期间所做的主要工作如下: 安全监测方面 1.网络流量监测 利用专业的网络流量分析工具,7×24 小时不间断地对进出网络的
继续阅读疑黑客出售国内某IT企业服务器访问权限,456GB数据遭泄露
疑黑客出售国内某IT企业服务器访问权限,456GB数据遭泄露 原创 网空闲话 网空闲话plus 2025-01-11 10:35 据BreachForums网站2025年1月10日消息,威胁行为者Skillz涉嫌向一家年收入达48亿美元的中国IT企业出售服务器访问权限。此次攻击通过利用易受攻击的系统,获取了目标公司的shell访问权限,并暴露了服务器上存储的456GB数据。目标公司业务涵盖网络安全
继续阅读【已复现】Ivanti Connect Secure 堆栈溢出致远程代码执行漏洞(CVE-2025-0282)
【已复现】Ivanti Connect Secure 堆栈溢出致远程代码执行漏洞(CVE-2025-0282) 长亭安全应急响应中心 2025-01-11 04:02 Ivanti Connect Secure(ICS) 是 Ivanti 公司旗下的一款企业级 SSL VPN 解决方案,支持远程安全接入、身份验证和访问控制等关键功能。2025 年 1 月,Ivanti 官方发布安全公告,修复了 I
继续阅读