知名企业深陷漏洞“迷局”,网络安全专家组队“破局”!
知名企业深陷漏洞“迷局”,网络安全专家组队“破局”! 天融信教育 2024-12-18 09:35 近期,天融信接到一家知名企业求助 在一次常规安全检查中 客户发现系统中存在多个未授权访问漏洞 Spring Boot Actuator、Redis、Swagger API 等敏感信息暴露无遗 为黑客敞开一扇扇“方便之门” 越权访问、弱口令攻击等安全事件层出不穷 如同一颗颗“隐形地雷” 企业信息安全体
继续阅读标签: 越权访问
泛微ecology9 1day分析
泛微ecology9 1day分析 安全绘景 2024-12-18 07:18 0x01 前言 挺久没发文了,这段时间也忙,然后也是不知道写什么,发下看泛微的时候记的部分笔记吧,水水,冒个泡证明还在。 0x02 分析 下载补丁包,根据官方更新的时间,编写脚本筛选对应时间的补丁文件 。 可结合安全通告进一步确定漏洞类型。 脚本代码: import os import argparse from da
继续阅读极致经典 | 一次客户系统渗透,多种经典漏洞集合于一身
极致经典 | 一次客户系统渗透,多种经典漏洞集合于一身 原创 犀利猪 犀利猪安全 2024-12-18 02:20 文章转载至: https://xz.aliyun.com/t/16747 作者:消失的猪猪 0x00 文章前言 一次客户系统的测试,全程码死,整个系统存在多种类型漏洞。给大家看看,展开思路,自我感觉属于是相当经典的一次测试,漏洞也是相当经典的几种漏洞。 0x01 测试开始 开局一个登
继续阅读.NET LINQPad 最新反序列化漏洞分析与利用
.NET LINQPad 最新反序列化漏洞分析与利用 原创 专攻.NET安全的 dotNet安全矩阵 2024-12-18 00:29 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用
继续阅读探秘移动端漏洞世界 | 零基础入门Android漏洞挖掘-入门篇
探秘移动端漏洞世界 | 零基础入门Android漏洞挖掘-入门篇 看雪课程 看雪学苑 2024-12-17 09:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。
继续阅读实战渗透-某金融众测价值3k的漏洞(附SRC报告合集免费下载)
实战渗透-某金融众测价值3k的漏洞(附SRC报告合集免费下载) 原创 sspsec SSP安全研究 2024-12-16 00:57 在本次金融系统安全测试中,我们从一个日志泄露问题入手,逐步挖掘并利用了系统弱口令和越权访问漏洞,最终实现了对后台系统的高权限接管。本次分享将带您全程回顾漏洞挖掘过程及系统安全的防护建议。 🔍 1. 日志泄露 – 敏感信息曝光 漏洞描述 我们使用自研的Sp
继续阅读黑盒乱锤某专属SRC到0day代码分析
黑盒乱锤某专属SRC到0day代码分析 不秃头的安全 2024-12-13 09:54 **黑盒乱锤某专属SRC到0day代码分析**** 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。 还在学怎么挖通用漏洞和src吗?快来加入星球 -考证请加联系vx咨询 由 于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 上
继续阅读安全设备漏洞 Checklist
安全设备漏洞 Checklist 原创 老鑫安全 老鑫安全 2024-12-13 09:31 弯刀划过红玫瑰,爱我yao家英雄会 2024年最后一个有可能一举翻身的机会 安全设备漏洞 Checklist 【免责声明】本项目所涉及的技术、思路和工具仅供学习,任何人不得将其用于非法用途和盈利,不得将其用于非授权渗透测试,否则后果自行承担,与本项目无关。使用本项目前请先阅读法律法规。 一、身份与访问控制
继续阅读一个0day的开端:失败的man与nday
一个0day的开端:失败的man与nday 蚁景网安 2024-12-13 08:30 最近在审计java的CMS,跟着文章进行nday审计,找准目标newbee-mall Version 1.0.0(新蜂商城系统),并跟着网上文章进行审计: https://blog.csdn.net/m0_46317063/article/details/131538307 下载唯一的版本,且源码README中
继续阅读玲珑安全直播:单洞赏金1万美刀的漏洞思路分享
玲珑安全直播:单洞赏金1万美刀的漏洞思路分享 玲珑安全 芳华绝代安全团队 2024-12-13 02:43 直播来啦! 国内挖洞日益内卷压力大? 想挖海外SRC却不知从何下手? 语言障碍、思路差异以及不熟悉的海外平台规则频频成为挑战美金的阻碍? 有问题!咱不怕!咱们请到了老师傅带带咱! O(∩_∩)O~ FreeBuf请来了我们的重磅嘉宾 玲珑安全学员:Reclu3a 为我们揭开海外SRC的神秘面
继续阅读单洞赏金1万美刀的漏洞思路分享| 玲珑安全帮会直播
单洞赏金1万美刀的漏洞思路分享| 玲珑安全帮会直播 FreeBuf知识大陆 FreeBuf 2024-12-12 10:54 直播来啦! 国内挖洞日益内卷压力大? 想挖海外SRC却不知从何下手? 语言障碍、思路差异以及不熟悉的海外平台规则频频成为挑战美金的阻碍? 有问题!咱不怕!咱们请到了老师傅带带咱! O(∩_∩)O~ FreeBuf请来了我们的重磅嘉宾 玲珑安全学员:Reclu3a 为我们揭开
继续阅读微软 MFA 中存在AuthQuake 漏洞,可导致无限次暴力攻击
微软 MFA 中存在AuthQuake 漏洞,可导致无限次暴力攻击 代码卫士 2024-12-12 10:09 聚焦源代码安全,网罗国内外最新资讯! 作者:Ravie Lakshmanan 编译:代码卫士 网络安全研究员在微软的多因素认证 (MFA) 实现中发现了一个严重漏洞,可导致攻击者轻易绕过防御措施,越权访问受害者账户。 Oasis 安全公司的研究人员 Elad Luz 和 Tal Haso
继续阅读施耐德电气提醒注意 Modicon 控制器中的严重漏洞
施耐德电气提醒注意 Modicon 控制器中的严重漏洞 securityonline 代码卫士 2024-12-12 10:09 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 施耐德电气发布一份安全通知,提醒注意 Modicon M241、M251、M258和LMC058 可编程逻辑控制器 (PLCs) 中的一个严重漏洞CVE-2024-11737(CVSS评分9.8)。该漏洞可导致攻击者
继续阅读记一次接口fuzz+逻辑漏洞拿下证书站高危
记一次接口fuzz+逻辑漏洞拿下证书站高危 扫地僧的茶饭日常 2024-12-12 01:00 扫码领资料 获网安教程 本文由掌控安全学院 – kpc 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 一、站点选择 依旧是按照可注册进站的思路搜索资产,因为是打证书站所以只需要按照域名搜索即可,关键字中加上注册,后台等即可,具体语法
继续阅读edu小程序挖掘严重支付逻辑漏洞
edu小程序挖掘严重支付逻辑漏洞 扫地僧的茶饭日常 2024-12-11 01:30 扫码领资料 获网安教程 本文由掌控安全学院 – 洛川 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 声明:本文所有漏洞已提交修复了 一、敏感信息泄露 来到某学校电费充值公众号 img 打开购电小程序 img 这里需要输入姓名和学号,直接搜索引
继续阅读研究员在DeepSeek 和 Claude AI 中发现多个提示注入漏洞
研究员在DeepSeek 和 Claude AI 中发现多个提示注入漏洞 Ravie Lakshmanan 代码卫士 2024-12-10 10:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员 Johann Rehberger 在DeepSeek 人工智能 (AI) 聊天机器人中发现了一个缺陷(现已修复),可导致恶意人员通过提示注入攻击的方式控制受害者账户。 Rehbe
继续阅读网络安全知多少【科普】5:找业务本身也可能就是漏洞,就是风险
网络安全知多少【科普】5:找业务本身也可能就是漏洞,就是风险 安小圈 2024-12-10 00:45 安小圈 第563期 网络安全 科普 “ 因此,安全是发展的前提和保障。没有网络安全,就没有国家安全,更谈不上业务安全。” 在当今数字化时代,企业业务的复杂性和多样性不断增加,业务功能的设计与实现成为企业竞争力的关键因素之一。 然而,业务本身及其功能设计往往潜藏着诸多漏洞和安全隐患,这些风险不仅可
继续阅读安全热点周报:新的 Windows 零日漏洞暴露 NTLM 凭据,已获得非官方补丁
安全热点周报:新的 Windows 零日漏洞暴露 NTLM 凭据,已获得非官方补丁 奇安信 CERT 2024-12-09 10:04 安全资讯导视 • 中共中央办公厅、国务院办公厅公布《关于推进新型城市基础设施建设打造韧性城市的意见》 • 欧洲理事会通过两项新法案加强网络安全 • 严重损害数据安全,湖南一IT公司被罚20万元 PART01 漏洞情报 1.SonicWall SMA100 SSL
继续阅读漏洞分析 | 挖掘 .NET SqlSugar 框架SQL注入
漏洞分析 | 挖掘 .NET SqlSugar 框架SQL注入 原创 专攻.NET安全的 dotNet安全矩阵 2024-12-07 01:10 01 阅读须知 此文所节选自国内最专业的 [ .NET 代码审计 ] 体系化学习社区,主要 内容有 涉及 .NET代码审计体系化星球包括但不限于OWASP十大漏洞类型,涉及SQL注入漏洞、文件上传下载漏洞、任意文件操作漏洞、XML外部实体注入漏洞、跨站脚
继续阅读.NET 安全攻防知识交流社区
.NET 安全攻防知识交流社区 小嘟 安全洞察知识图谱 2024-12-06 03:18 01 欢迎加入社区 为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。 02 .NET攻防社区简介 目前
继续阅读立即修复,微软驱动程序关键漏洞已被APT组织利用
立即修复,微软驱动程序关键漏洞已被APT组织利用 信息安全大事件 2024-12-05 12:24 近日,微软被曝Windows AFD.sys漏洞(编号:CVE-2024-38193)正在被黑客组织利用。该漏洞被归类为自带易受攻击驱动程序(BYOVD)漏洞,可影响Windows套接字的注册I/O(RIO)扩展,并允许攻击者远程接管整个系 统。 漏洞影响版本包括Windows 11(ARM64、x
继续阅读【安全圈】立即修复,微软驱动程序关键漏洞已被APT组织利用
【安全圈】立即修复,微软驱动程序关键漏洞已被APT组织利用 安全圈 2024-12-05 11:01 关键词 安全漏洞 近日,微软被曝Windows AFD.sys漏洞(编号:CVE-2024-38193)正在被黑客组织利用。该漏洞被归类为自带易受攻击驱动程序(BYOVD)漏洞,可影响Windows套接字的注册I/O(RIO)扩展,并允许攻击者远程接管整个系统。 漏洞影响版本包括Windows 1
继续阅读日本CERT提醒:IO-Data 路由器中的多个0day已遭利用
日本CERT提醒:IO-Data 路由器中的多个0day已遭利用 Bill Toulas 代码卫士 2024-12-05 09:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 日本应急响应中心 (CERT) 提醒称,黑客正在利用 I-O Data 路由器设备中的多个0day漏洞,修改设备设置、执行命令、甚至关闭防火墙。 I-O Data 公司在网站发布安全通告,证实了这些漏洞的存在。然
继续阅读9个超级实用BurpSuite插件,SRC漏洞挖掘利器打包推荐
9个超级实用BurpSuite插件,SRC漏洞挖掘利器打包推荐 Mstir 星悦安全 2024-12-05 04:52 点击上方 蓝字 关注我们 并设为 星标 part 01 一、前言 BETTER 工具打包下载地址在文末,不想看介绍直接拉到底下查看即可 前段时间自己在做项目的时候,需要用到一些漏洞扫描工具,以及一些被动扫描的工具,其中BurpSuite中的几个插件起到了关键性的作用,其实在实际
继续阅读通知 | 事件型漏洞收录范围调整
通知 | 事件型漏洞收录范围调整 补天平台 2024-12-05 02:41 事件型漏洞收录范围调整 为了鼓励更多的白帽子积极上发现的漏洞,帮助更多的企业维护产品安全性,补天收录范围更新, 取消权重的限制门槛,同时增加奖励形式。 01 事件型漏洞收录范围更新 补天漏洞响应平台将事件型漏洞收录范围进一步扩大,同时漏洞奖励形式增设荣誉币,旨在激励更多白帽子积极发现并上报漏洞,帮助更多的企业发现并修复漏
继续阅读网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇)
网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇) 进击的HACK 2024-12-04 23:55 前言 前些天写了那个凑数量的漏洞文章,貌似效果不错…… 当初熊猫刚入行的时候,新接个渗透项目,起手就是awvs、sqlmap、xray、appscan、owaspzap等等的一系列扫描器莽怼,碰碰运气,结果惨败在waf拦截之下…… 对于小白来说,工具
继续阅读API安全漏洞靶场crapi漏洞复现
API安全漏洞靶场crapi漏洞复现 进击的HACK 2024-12-04 23:55 项目介绍 crAPI 应用程序被建模为 B2C 应用程序,允许任何用户让汽车修理工完成他们的汽车维修。用户可以在 WebApp 上创建帐户、管理他/她的汽车、搜索汽车修理工、提交任何汽车的服务请求以及从供应商处购买汽车配件。WebApp 还有一个社区部分,用户可以在其中贡献博客文章和评论。 crAPI 应用程序
继续阅读微软驱动程序关键漏洞已被APT组织利用
微软驱动程序关键漏洞已被APT组织利用 老布 FreeBuf 2024-12-04 11:03 近日,微软被曝Windows AFD.sys漏洞(编号:CVE-2024-38193)正在被黑客组织利用。该漏洞被归类为自带易受攻击驱动程序(BYOVD)漏洞,可影响Windows套接字的注册I/O(RIO)扩展,并允许攻击者远程接管整个系统。 漏洞影响版本包括Windows 11(ARM64、x64,
继续阅读年末冲刺!2024漏洞马拉松『美团站』正式启动
年末冲刺!2024漏洞马拉松『美团站』正式启动 美团安全应急响应中心 2024-12-03 10:30 活动范围 美团及旗下开放在互联网的应用系统 (美团控股公司漏洞视情况收取,暂停收录系统见平台公告) 提交地址 https://security.meituan.com 活动规则 漏洞标题必须标注【漏洞马拉松2024】前缀,否则无法享受活动奖励;本活动不与平台其他活动同享。 注意事项 1.当发现入
继续阅读