微软修复已遭利用的 Power Pages 0day
微软修复已遭利用的 Power Pages 0day Bill Toulas 代码卫士 2025-02-21 10:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软发布安全通告称Power Pages 中存在一个高危提权漏洞CVE-2025-24989,在0day时已遭利用。 该漏洞是影响 Power Pages 的访问控制不当问题,可导致越权人员提升权限并绕过用户的注册控制。微软
继续阅读标签: 越权访问
.NET 通过代码审计发现某 OA 系统全局性权限访问绕过漏洞
.NET 通过代码审计发现某 OA 系统全局性权限访问绕过漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-20 00:28 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项全局绕过漏洞的发现引起了广泛关注。该漏洞源自 两个组件的协同作用,攻击者只需构造一个特定的URL请求,便能实现对任意接口的未授权访问。 01. OA系统漏洞背景 某和OA协同办
继续阅读VeraCore 两个0day漏洞被用于实施供应链攻击
VeraCore 两个0day漏洞被用于实施供应链攻击 Rob Wright 代码卫士 2025-02-18 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员在仓库管理软件平台 VeraCore 中发现了两个遭活跃利用的0day漏洞。Intezer 和 Solis Security 公司的安全研究员发现网络犯罪团伙 XE Group 利用这两个漏洞,早在2020年就攻陷制
继续阅读【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?
【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些? 原创 醉墨离 泷羽Sec-醉陌离 2025-02-18 09:29 🌟【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?🔐 刚入门网络安全?别慌!用点外卖都能看懂的比喻,带你轻松掌握高危漏洞原理!(文末送新手工具包) 🍔 Top1 注入攻击:像篡改外卖订单的”加料黑客”
继续阅读04 漏洞从哪里来?——认知局限
04 漏洞从哪里来?——认知局限 原创 Richard 方桥安全漏洞防治中心 2025-02-17 09:01 软件安全漏洞的根源不仅是技术缺陷,更是人类认知局限的后果 。 复杂的多层架构(如Log4j2漏洞)和滞后的技术认知(如HTTP明文传输)进一步扩大了攻击面。 开发人员 缺乏安全编码训练(如输入验证不足)、 管理者 业务优先级偏差(如安全投入不足)以及 认知盲区的叠加, 正是 安全漏洞 的
继续阅读医疗行业数据安全风险评估实践指南(4.3)
医疗行业数据安全风险评估实践指南(4.3) 原创 草根老烦 老烦的草根安全观 2025-02-17 05:20 再次重申,本文未经授权不得以任何形式转载、发布或者形成商业活动,本文版权归作者樊山独有。 4.2.4 威胁识别 4.2.4.1 威胁概述 威胁,对评估对象构成潜在影响的实体。在 ISO/IEC 27001:2022 标准中,威胁被定义为“可能对信息安全造成损害的潜在事件或行为。 ” 在《
继续阅读逻辑漏洞挖掘思路与总结
逻辑漏洞挖掘思路与总结 计算机与网络安全 2025-02-16 23:57 资料列表: https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ 逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞,在实际开发中,因为开发者水平不一,没有安全意识,而且业务发展迅速,内部测试没有及时到位,所以常常会出现类似的漏洞,导致攻击者可以修改、绕过或者中断整个程序,让程序按
继续阅读让Druid未授权访问漏洞危害最大化案例和利用工具|挖洞技巧
让Druid未授权访问漏洞危害最大化案例和利用工具|挖洞技巧 漏洞挖掘投稿 渗透安全HackTwo 2025-02-16 16:02 0x01 前言 Druid是阿里开发的数据库连接池,广泛用于监控和数据管理。常见的安全漏洞主要有两种:未授权访问和弱口令问题。若发现Druid未授权访问,利用druid_sessions工具快速获取 Alibaba Druid 的相关参数(sessi
继续阅读03 漏洞从哪里来?——编程习惯
03 漏洞从哪里来?——编程习惯 原创 Richard 方桥安全漏洞防治中心 2025-02-15 06:19 代码质量直接决定系统安全性。编程习惯,或者“规范”,作为关键因素,直接影响漏洞产生的概率。 注入(OWASP A03:2021, SQL注入、XSS等)、缓冲区溢出(如:CWE-120)等安全漏洞均来源于非常基础的编码缺陷(NIST IR 8397)。 硬编码凭证(CWE-259)
继续阅读漏洞预警 | Palo Alto Networks PAN-OS管理界面身份认证绕过漏洞
漏洞预警 | Palo Alto Networks PAN-OS管理界面身份认证绕过漏洞 浅安 浅安安全 2025-02-15 00:00 0x00 漏洞编号 – CVE-2025-0108 0x01 危险等级 – 高危 0x02 漏洞概述 Palo Alto Networks PAN-OS 是一款由Palo Alto Networks开发的下一代防火墙操作系统,提供全面的
继续阅读OpenSSL 高危漏洞可用于中间人攻击
OpenSSL 高危漏洞可用于中间人攻击 do son 代码卫士 2025-02-12 09:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员在 OpenSSL 中发现了一个高危漏洞CVE-2024-12797,影响传统X.509证书替代方法原始公钥 (RPKs) 的实现。 该漏洞可导致攻击者通过模拟服务器的方式执行中间人攻击。OpenSSL 在安全公告中解释称,“使用 RFC
继续阅读元宵福利 | WebShell、内存马技术、反序列化漏洞文章和工具汇总
元宵福利 | WebShell、内存马技术、反序列化漏洞文章和工具汇总 哈拉少安全小队 2025-02-12 01:38 01 欢迎加入社区 一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。 元宵优惠活动,限时领取40元优惠券,数量不多,手快有!!! 02 .NET攻防星球年度专
继续阅读APP渗透测试 — 越权漏洞
APP渗透测试 — 越权漏洞 Web安全工具库 2025-02-11 16:01 本套课程在线学习(网盘地址,保存即可免费观看)地址: 扫描二维码 免费下载观看 链接:https://pan.quark.cn/s/5b6324e49ef5 00:04 – 讲解权限相关漏洞:垂直越权与水平越权 本次讲解聚焦于网站权限相关的漏洞,具体分析了垂直越权和水平越权的概念及其表现形式。
继续阅读.NET 代码审计:发现某企业级 OA 系统中任意文件下载漏洞
.NET 代码审计:发现某企业级 OA 系统中任意文件下载漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-11 00:21 在企业级OA系统的业务交互过程中,文件上传和下载是常见的功能需求。然而,往往会在实现这些功能时忽视安全性,导致系统可能存在一些安全漏洞,特别是文件下载漏洞。 01. 漏洞代码分析 下面通过对某OA系统代码的审计,详细分析如何发现并利用任意文件下载漏洞,以
继续阅读web接口漏洞 – 水平越权
web接口漏洞 – 水平越权 原创 xiaoliao1 信安一把索 2025-02-10 10:21 一 、漏洞介绍: 水平越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞。由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而导致的越权数据访问漏洞,而这种越权最容易出现的位置就是?Id=(传参值) 和 post 传参的参数中,或者存在个人信息页面,个人资料这些隐
继续阅读渗透实战 | 微信小程序EDUSRC渗透漏洞复盘
渗透实战 | 微信小程序EDUSRC渗透漏洞复盘 不秃头的安全 2025-02-09 23:21 微信小程序EDUSRC渗透漏洞复盘 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论, 严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。 还在学怎么挖通用漏洞和src吗?知识星球最后一次优惠,续费也有优惠私聊~~考证请加联系vx咨询 0x1 前言 哈喽,师傅们这次又来给师傅们分享
继续阅读APP渗透测试 — 从代码讲逻辑漏洞
APP渗透测试 — 从代码讲逻辑漏洞 网络安全者 2025-02-09 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: 链接:https://pan.quark.cn/s/9a5f31d09414 00:03 – 探讨PHP程序中的逻辑漏洞问题 在本次课程中,首先介绍了使用PHP 1.6版本的程序,通过一个具体示例,详细讲解了后台逻辑漏洞的问题。具体来说,
继续阅读漏洞公开——从弱口令到通杀
漏洞公开——从弱口令到通杀 Z2O安全攻防 2025-02-09 15:41 No.1 起源 一切的一切,都源自于Sheen神挖到的那张CNVD…… 我羡慕得眼红,梦里都是证书,证书上都是我名字 可惜…梦醒了,我还是那个我,神还是那个神 不!我不能这样!我要拿证书!!!! 于是我打开了Edu SRC,目光锁定了最近上架的新证书——某学院的漏洞报送证书 No.2
继续阅读某系统webpack接口泄露引发的一系列漏洞
某系统webpack接口泄露引发的一系列漏洞 原创 zkaq – 腾风起 掌控安全EDU 2025-02-08 04:03 扫码领资料 获网安教程 本文由掌控安全学院 – 腾风起 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 信息搜集 这里找到从小穿一条裤子长大的兄弟,要挟他交出来他的统一账号,否则把小时候的照片挂网上
继续阅读.NET 通过代码审计发现 ERP 系统中两个任意文件上传漏洞
.NET 通过代码审计发现 ERP 系统中两个任意文件上传漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-08 01:35 文件上传功能是 Web 应用中非常重要且敏感的部分,如果缺乏完善的安全控制,极易成为攻击者利用的突破口。本文通过对 .NET 某 ERP 系统的两个文件上传功能进行代码审计与漏洞分析,揭示了潜在的任意文件上传风险及其危害。 01. 漏洞代码审计 在渗透测
继续阅读实战 | 微信小程序EDUSRC渗透漏洞复盘
实战 | 微信小程序EDUSRC渗透漏洞复盘 原创 神农Sec 神农Sec 2025-02-07 02:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 哈喽,师傅们这次又来给师傅们分享下最近的一个漏洞挖掘的一个过程,这次跟着一个师傅学习,然后自己动手去挖,也是学习到了不了
继续阅读最后一天福利 | 2024年度WebShell专题、内存马技术、反序列化漏洞文章和工具汇总
最后一天福利 | 2024年度WebShell专题、内存马技术、反序列化漏洞文章和工具汇总 小嘟 dotNet安全矩阵 2025-02-04 02:14 01 欢迎加入社区 为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动
继续阅读越权漏洞实战漏洞报告
越权漏洞实战漏洞报告 原创 xiaoliao1 信安一把索 2025-01-30 04:18 在日常浏览和测试一些网站功能时,作为一个安全研究者,我总是习惯性地对每个功能点进行一些基本的测试,尤其是对于那些看起来设计粗糙或者不够完善的功能。正是在这种情况下,我发现了一个私信功能,界面简单,缺乏细致的保护机制,这引发了我对其安全性的怀疑。于是,我决定深入分析,看看是否存在潜在的漏洞。 在浏览主站点时
继续阅读原创工具|Venom-JWT渗透工具 – 针对JWT漏洞和密钥爆破服务渗透测试
原创工具|Venom-JWT渗透工具 – 针对JWT漏洞和密钥爆破服务渗透测试 老呆 Tab Sec 2025-01-29 14:11 此文章只为学习而生,请勿干违法违禁之事,本公众号只在技术的学习上做以分享,开发个工具帮助进行项目上的渗透测试, 所有行为与本公众号无关 。 毒液Venom系列项目又+1,好耶。 后续开发的项目 渗透服务类工具Github:https://github.
继续阅读调用 KIMI AI 进行自动化越权漏洞检测的工具 — PrivHunterAI
调用 KIMI AI 进行自动化越权漏洞检测的工具 — PrivHunterAI Ed1s0nZ Web安全工具库 2025-01-27 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自
继续阅读1Scan一键渗透扫描器|漏洞探测
1Scan一键渗透扫描器|漏洞探测 漏洞挖掘 渗透安全HackTwo 2025-01-21 16:00 0x01 工具介绍 1Scan 全平台一键渗透扫描器,只需输入目标(IP、URL、CIDR、ip.txt、ipc.txt、ipb.txt、url.txt),即可一键使用多种协议收集信息、网络密码爆破、高危1Day、Nday漏洞探测、一键GetShell等。 下载地址在末尾**** 0x02 功
继续阅读一个支持被动代理的调用 KIMI AI 进行越权漏洞检测的工具
一个支持被动代理的调用 KIMI AI 进行越权漏洞检测的工具 黑白之道 2025-01-21 01:53 工具介绍 利用工作之余(摸鱼)时间花 2 小时完成的小工具,简易版支持通过被动代理调用 KIMI AI 进行越权漏洞检测,检测能力依赖 KIMI API 实现。目前功能较为基础,尚未优化输出,也未加入扫描失败后的重试机制等功能。 工作流程 使用方法 下载源代码; 编辑config.go文件,
继续阅读漏洞预警 | Fortinet FortiOS与FortiProxy身份验证绕过漏洞
漏洞预警 | Fortinet FortiOS与FortiProxy身份验证绕过漏洞 浅安 浅安安全 2025-01-21 00:02 0x00 漏洞编号 – # CVE-2024-55591 0x01 危险等级 – 高危 0x02 漏洞概述 FortiOS是Fortinet提供的操作系统,用于其安全设备。FortiProxy是FortiOS的一个组件,主要用于代理服务,提
继续阅读意外发现谷歌Slides越权漏洞,获得赏金$3133.70的故事
意外发现谷歌Slides越权漏洞,获得赏金$3133.70的故事 Z2O安全攻防 2025-01-20 13:03 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 背景介绍 某一天悠闲的午后,白帽小哥Atikqur坐在办公桌前,在 Google Slides 上准备着一场活动的演讲稿。
继续阅读