Hacking8 安全信息流
最近更新
| 时间 | 节点 | |
|---|---|---|
| 2024年5月4日 15:24 | Github关注 | |
| 2024年5月4日 15:04 | freebuf |
Cangibrina是一款功能强大且高效的管理员面板扫描与发现工具,可以帮助广大研究人员识别和发现目标Web应用程序中的管理员仪表盘。 |
| 2024年5月4日 13:12 | freebuf |
.LNK文件是一种Windows文件类型,通常称为快捷方式,在计算机上看到并使用过它们,以便我们轻松地直接从桌面启动。 |
| 2024年5月4日 11:32 | Github关注 |
SSRFuzz is a tool to find Server Side Request Forgery vulnerabilities, with CRLF chaining capabilities |
| 2024年5月4日 11:12 | Github关注 |
Blog about HTTP Request Smuggling, including a demo application. |
| 2024年5月4日 10:12 | freebuf |
经过长时间的逆向分析发现攻击者使用了一套之前从未见披露过的内核注入技术.。 |
| 2024年5月4日 10:02 | Github_POC |
VFS Sandbox Escape in CrushFTP in all versions before 10.7.1 and 11.1.0 on all platforms allows remote attackers with low privileges to read files from the filesystem outside of VFS Sandbox. [GitHub]A server side template injection vulnerability in CrushFTP in all versions before 10.7.1 and 11.1.0 on all platforms allows unauthenticated remote attackers to read files from the filesystem outside of the VFS Sandbox, bypass authentication to gain administrative access, and perform remote code execution on the server. " VFS沙箱逃逸在所有版本小于10.7.1和11.1.0的CrushFTP中,以及在所有平台上,允许具有低权限的远程攻击者从VFS沙箱之外的文件系统读取文件。\n[GitHub] CrushFTP在所有版本小于10.7.1和11.1.0的所有平台上,存在服务器端模板注入漏洞,允许未认证的远程攻击者从VFS沙箱之外的文件系统读取文件,绕过认证获得管理员权限,并在服务器上执行远程代码。" |
| 2024年5月4日 08:12 | freebuf |
创新沙盒解读:P0 Security |
| 2024年5月4日 05:36 | Data Breach – Security Affairs |
LockBit ransomware operators have published sensitive data allegedly stolen from the Simone Veil hospital in Cannes. In April, a cyber attack hit the Hospital Simone Veil in Cannes (CHC-SV), impacting medical procedures and forcing personnel to return to pen and paper. Non-urgent surgical procedures and consultations scheduled at the time of the attack were postponed. The French […] " LockBit勒索软件运营者发布了据称是从戛纳的Simone Veil医院窃取的敏感数据。今年4月,一场网络攻击袭击了戛纳的Simone Veil医院(CHC-SV),影响了医疗程序,迫使工作人员回归使用笔和纸。攻击当时安排的非紧急手术和咨询均被推迟。法国……\n\n(译文仅供参考,如需正式翻译,请咨询专业译者。)" |
| 2024年5月4日 05:32 | hackone |
影响厂商:U.S. Dept Of Defense 奖励: 危险等级:medium " 通过 'where' 参数在 ██████████ 上实施 SQL 注入攻击" |
| 2024年5月4日 05:32 | hackone |
影响厂商:Node.js 奖励: 危险等级:low " 在undici.request中的跨域重定向时,Proxy-Authorization头部未清除。\n\n翻译说明:信达雅的要求下,将原文中的关键词进行保留,并对句子结构进行适当调整,使其更符合中文表达习惯。" |
| 2024年5月4日 05:32 | hackone |
影响厂商:Node.js 奖励: 危险等级:None " 当算法指定时,带有完整性选项的fetch过于宽松,而哈希值不正确。" |
| 2024年5月4日 05:32 | hackone |
影响厂商:U.S. Dept Of Defense 奖励: 危险等级:medium " 通过██████的搜索查询实现反射型跨站脚本攻击" |
| 2024年5月4日 05:12 | Github关注 |
Admin to Kernel code execution using the KSecDD driver |
| 2024年5月4日 05:12 | Github关注 |
Table of AD and Azure assets and whether they belong to Tier Zero |
| 2024年5月4日 05:12 | Github关注 |
Create tar/zip archives that can exploit directory traversal vulnerabilities |
| 2024年5月4日 04:02 | Github_POC |
A vulnerability in the management and VPN web servers for Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to cause the device to reload unexpectedly, resulting in a denial of service (DoS) condition. This vulnerability is due to incomplete error checking when parsing an HTTP header. An attacker could exploit this vulnerability by sending a crafted HTTP request to a targeted web server on a device. A successful exploit could allow the attacker to cause a DoS condition when the device reloads. [GitHub]Exploit for Cisco ASA and FTD (may 2024) " 思科自适应安全设备(ASA)软件和思科Firepower威胁防御(FTD)软件的管理和VPN Web服务器存在一个漏洞,可能导致未经身份验证的远程攻击者意外地使设备重新加载,从而导致服务拒绝(DoS)状况。这个漏洞是由于在解析HTTP头部时错误检查不完整导致的。攻击者可以通过向设备上的目标Web服务器发送精心构造的HTTP请求来利用这个漏洞。成功的攻击可能导致设备在重新加载时引发DoS状况。\n[GitHub]针对思科ASA和FTD的利用(2024年5月)" |
| 2024年5月4日 04:02 | Github_POC |
Microsoft Outlook Remote Code Execution Vulnerability [GitHub]CVE-2024-21413 Microsoft Outlook RCE Exploit |
| 2024年5月4日 04:02 | Github_POC |
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in ValvePress Automatic allows SQL Injection.This issue affects Automatic: from n/a through 3.92.0.
[GitHub]CVE-2024-27956 WORDPRESS RCE PLUGIN
" 不良的特殊元素在SQL命令中的中性化('SQL注入')漏洞在ValvePress自动版中允许SQL注入。此问题影响自动版:从n/a至3.92.0。\n[GitHub]CVE-2024-27956 WORDPRESS RCE插件"
|
| 2024年5月4日 03:33 | hackone |
影响厂商:U.S. Dept Of Defense 奖励: 危险等级:medium " 登录页面上的错误信息反射型XSS攻击" |
| 2024年5月4日 03:33 | hackone |
影响厂商:U.S. Dept Of Defense 奖励: 危险等级:medium " 反射型跨站脚本攻击 [CVE-2020-3580]" |
| 2024年5月4日 03:33 | hackone |
影响厂商:U.S. Dept Of Defense 奖励: 危险等级:medium " 通过Moodle实现的反射XSS漏洞(CVE-2022-35653)\n\n反射XSS(跨站脚本攻击)是一种网络安全漏洞,攻击者通过诱使受害者访问恶意构造的URL,将恶意脚本反射到受害者浏览器上,从而实现对受害者的攻击。Moodle是一款广泛应用于教育行业的开源学习管理系统,拥有众多用户。此次反射XSS漏洞的曝光,提醒我们要时刻关注网络安全,及时修复潜在漏洞,保护用户数据安全。CVE-2022-35653是该漏洞的通用漏洞披露编号,方便网络安全社区跟踪和解决这一问题。\n\n为保证信达雅,翻译时将英文翻译为中文,并保留了原文的格式和重点词汇。" |
| 2024年5月4日 03:33 | hackone |
影响厂商:U.S. Dept Of Defense 奖励: 危险等级:medium " 通过Keycloak反射的XSS漏洞(CVE-2021-20323)" |
| 2024年5月4日 03:33 | hackone |
影响厂商:Node.js 奖励: 危险等级:medium " 通过内容长度混淆进行HTTP请求走私" |
| 2024年5月4日 03:33 | hackone |
影响厂商:b'U.S. Dept Of Defense'(https://hackerone.com/deptofdefense) " 通过Keycloak反射的XSS漏洞:[CVE-2021-20323]" |
| 2024年5月4日 03:33 | hackone |
影响厂商:b'U.S. Dept Of Defense'(https://hackerone.com/deptofdefense) " 反射型跨站脚本攻击 [CVE-2020-3580]" |
| 2024年5月4日 03:33 | hackone |
影响厂商:b'U.S. Dept Of Defense'(https://hackerone.com/deptofdefense) " 通过搜索查询实现的跨站脚本反射攻击(Reflected Cross-site Scripting)" |
| 2024年5月4日 03:33 | hackone |
影响厂商:b'U.S. Dept Of Defense'(https://hackerone.com/deptofdefense) " 登录页面上的错误信息反射XSS攻击" |
| 2024年5月4日 03:33 | hackone |
影响厂商:b'U.S. Dept Of Defense'(https://hackerone.com/deptofdefense) " 通过Moodle实现的反射型XSS漏洞([CVE-2022-35653])" |
| 2024年5月4日 03:33 | hackone |
影响厂商:b'U.S. Dept Of Defense'(https://hackerone.com/deptofdefense) " “通过'where'参数的SQL注入”" |