51工具盒子
锐捷网络的云平台漏洞可能使 5 万台设备遭受远程攻击
网络安全研究人员在锐捷网络公司(Ruijie Networks)开发的云管理平台上发现了几个安全漏洞,攻击者可以利用这些漏洞控制网络设备。 Claroty 研究人员 Noam Moshe 和 Tomer Goldschmidt 在最近的一份分析报告中说:"这些漏洞既影响锐捷平台,也影响锐捷操作系统网络设备。这些漏洞一旦被利用,恶意攻击者就可以在任何支持云的设备上执行...
网络安全
从 DMM 比特币到美国政府: 2024 年最大的加密货币漏洞和黑客攻击
黑客们越来越狡猾,并继续从加密货币漏洞中攫取数十亿美元。 好消息是什么?没有了--2024 年的被盗资金总额已正式超过去年,数月来的黑客攻击使这已经破纪录的一年雪上加霜。 据区块链情报公司 TRM Labs 报告,截至 2024 年第三季度,加密货币被盗金额已超过 22 亿美元,超过了 2023 年全年的 18 亿美元。 现在,随着今年即将结束,总数还在继续攀升。分析显示...
NDSS 2025|Prompt泄露风险:抖音集团安全研究团队揭露多租户KV缓存共享漏洞
> 抖音集团安全研究团队和南方科技大学可信系统安全实验室合作的研究论文揭示了大语言模型安全领域服务框架的侧信道漏洞,利用多租户场景下的KV缓存共享机制精确恢复了用户提示词。本工作成果《I Know What You Asked: Prompt Leakage via KV-Cache Sharing in Multi-Tenant LLM Serving》已被安全领域顶级...
CVE-2024-56334: 命令注入漏洞使数百万 Node.js 系统遭受攻击
在广泛使用的 Node.js 系统信息包中发现了一个严重的命令注入漏洞 (CVE-2024-56334),该信息包的月下载量超过 800 万次,总下载量达到惊人的 3.3 亿次。该漏洞可允许攻击者执行任意操作系统命令,根据软件包的使用情况,有可能导致远程代码执行(RCE)或权限升级。 该漏洞源于获取网络 SSID 信息的 getWindowsIEEE8021x 函数中的命令注...
CISA 在积极利用中将 Acclaim USAHERDS 漏洞添加到 KEV 目录
美国网络安全和基础设施安全局(CISA)周一在已知漏洞(KEV)目录中增加了一个影响 Acclaim Systems USAHERDS 的高严重性安全漏洞,该漏洞已得到修补,但仍有证据表明该漏洞仍在被利用。 该漏洞名为 CVE-2021-44207(CVSS 得分:8.1),是 Acclaim USAHERDS 中的一个硬编码静态凭据漏洞,攻击者可利用该漏洞在易受影响的服务器...
3DS userland漏洞那些事
我与掌机结缘是从初中时代就开始了,但严格意义上来讲,在我的少年时代,我是没有拥有过掌机的。小时候家里没有给我买过任何游戏机,但我曾拥有过一台学习机------名人Windows CE。虽然被冠以"学习机"的名义,但实际上这是一台搭载Windows CE系统的掌上电脑(PDA),在2008年那个智能手机还没有出世的年代,我竟拥有了一台跨时代的智能大屏设备。 ...
经典写配置漏洞与几种变形
2017年我在[代码审计知识星球](https://zsxq.tricking.io/landpage/)里曾经发过一个经典的配置文件漏洞模型: [](/media/attachment...
利用最新Apache解析漏洞(CVE-2017-15715)绕过上传黑名单
我在[代码审计知识星球](https://51tbox.com/)里提到了Apache最新的一个解析漏洞(CVE-2017-15715): [](/media/atta...
GlassFish 目录穿越漏洞测试过程
这是一个2015年的老漏洞,由于我最近在学习相关的知识,所以拿出来温习一下。 [搭建测试环境](#_1) {#_1} ------------------- vulhub( <https://github.com/phith0n/vulhub> )是我学习各种漏洞的同时,创建的一个开源项目,旨在通过简单的两条命令,编译、运行一个完整的漏洞测试环境。 如何拉取项...
知乎某处XSS+刷粉超详细漏洞技术分析
我觉得十分经典的一个漏洞,和大家分享一下\~ 好久没法前端漏洞分析了,这次来一个。 [老问题导致的XSS漏洞](#xss) {#xss} -------------------------- 首先看一个XSS漏洞,这个点是老问题了, [](http://www.wooyun.org/bugs/wooyun-2016-0171240)<http://www.wooyu...
