2025-01-06 厉飞雨 阅读(373) 评论(0) 赞(15)

说明 === 刚刚有位朋友问我要checkList，我打算直接发来我网站上。 这是一份基础的checkList。有需要的收藏一下自己完善,祝各位早日打造出自己的checklist。 下载地址 ==== ![list](http://static.51tbox.com/static/2024-12-27/col/daf5e80834d7a6eac050632bbc43b...

2025-01-06 厉飞雨 阅读(361) 评论(0) 赞(14)

说明 === openssl.py 不输出偏移地址和非ascii字符 openssl心脏溢出.py 普通的poc getPass1.py 通过关键词抓数据 getPass.py 正则表达式抓数据 脚本间隔一秒钟读一次数据，发现正则匹配的账号密码，若之前没出现过，就写入accounts.txt文件。 使用 === 在getpass里面更换攻击ip后直接python getP...

2025-01-06 厉飞雨 阅读(318) 评论(0) 赞(16)

**AI修复漏洞，代码安全新革命** ================== 寻径 UtopianCode------首个开放式程序分析平台 {#h2-0} --------------------------------------- 截止目前，我们打造了国内首个开放式程序分析平台，以自研编程语言 MirrorQL和求解器为基础，具备强大的分析能力。并上线了独有的查询控制台...

2025-01-06 厉飞雨 阅读(502) 评论(0) 赞(21)

在 Windows、macOS 和 Linux 上广泛使用的终端模拟器和 SSH 客户端 Tabby（原 Terminus）中发现了一个高严重性漏洞 CVE-2024-55950 (CVSS 8.6)。Tabby 在 GitHub 上拥有近 61,000 个星级，下载次数超过 1,500 万次，其广泛的用户群因过度许可权限和不必要的访问权限而面临潜在风险。 Tabby 的 m...

2025-01-06 厉飞雨 阅读(574) 评论(0) 赞(18)

在广泛使用的数据处理和分发系统 Apache NiFi 中新发现的一个漏洞，可能允许未经授权访问敏感信息。该漏洞被追踪为 CVE-2024-56512，影响 1.10.0 至 2.0.0 的所有 NiFi 版本。 全球数以千计的组织都在使用 NiFi 自动化数据管道，用于各种目的，包括网络安全、可观测性甚至生成式人工智能。该漏洞破坏了平台的授权检查，可能会允许恶意行为者访问敏...

2025-01-06 厉飞雨 阅读(349) 评论(0) 赞(15)

防火墙巨头 Palo Alto Networks 正在推送更新，以修复一个被攻击者利用来破坏客户防火墙的漏洞。 该漏洞存在于运行该公司设备的 PAN-OS 软件中。该公司表示，其云原生 NGFW（即下一代防火墙）并没有受到影响。 "Palo Alto Networks PAN-OS 软件的 DNS 安全功能存在拒绝服务漏洞，未经验证的攻击者可以通过防火墙的数据平面...

2025-01-06 厉飞雨 阅读(220) 评论(0) 赞(17)

Invoice Ninja 是一款流行的开源发票和项目管理平台，它新发现的服务器端请求伪造（SSRF）漏洞可允许攻击者从系统的主机服务器读取敏感文件。Pretera 公司的安全研究员 Arben Shala 发现了这个漏洞（CVE-2024-53353），并详细说明了它对依赖 Invoice Ninja 的用户和组织的潜在影响。 采用 Laravel 构建的 Invoice ...

2025-01-06 厉飞雨 阅读(362) 评论(0) 赞(17)

漏洞简介 ---- Apache OFBiz 是一个开源的企业资源规划系统，提供了一整套企业管理解决方案，涵盖了许多领域，包括财务管理、供应链管理、客户关系管理、人力资源管理和电子商务等。Apache OFBiz 基于 Java 开发，采用灵活的架构和模块化设计，使其可以根据企业的需求进行定制和扩展，它具有强大的功能和可扩展性，适用于中小型企业和大型企业，帮助他们提高效率，降...

2025-01-06 厉飞雨 阅读(259) 评论(0) 赞(15)

数字时代，一切都架构在软件、网络、大数据之上。由于硬件、软件、协议在具体实现或操作系统安全策略上总会存在缺陷，所以漏洞无法避免。在即将过去的2024年中，安全漏洞数量持续增长，类型日趋多样化。 **据360漏洞情报平台全网漏洞监测显示，2024年全球范围内共计披露出44622个新的安全漏洞，相较于前一年同期增长了惊人的53.35%。** 更糟糕的是，伴随AI技术的普及，攻击者利...

2025-01-06 厉飞雨 阅读(436) 评论(0) 赞(16)

安全研究人员 Netsecfish 在流行的 DrayTek 网关设备的 Web 管理界面中发现了一个命令注入漏洞（跟踪为 CVE-2024-12987）。该漏洞可使攻击者远程执行任意命令，使 66,000 多台联网设备处于危险之中。 该漏洞源于受影响设备的 Web 管理界面中不当的输入消毒。具体来说，/cgi-bin/mainfunction.cgi/apmcfguploa...