据The Hacker News 12月24日消息，Apple 最近修复了 macOS 操作系统中的一个安全漏洞，攻击者可能会利用该漏洞“轻而易举地”绕过“无数 macOS 的基本安全机制”并运行任意代码。 安全研究员Patrick Wardle在上周的一系列推文中详细介绍了这一发现。该漏洞被追踪为 CVE-20...

临近元旦，本来大家应该沉浸在一个安静祥和的节日氛围中，但由于有史以来最严重的漏洞CVE-2021-44228(Log4Shell)的出现，整个安全行业立即进入“全年无休模式”。是什么让这个漏洞变得如此特别和可怕?有多大规模的灾难正在等待着我们?我们如何才能避免发生最坏的情况? 笔者希望通过本文带大家简单了解一下这个Log4Shell漏洞...

2019年10月31日，阿里云应急响应中心监测到国外安全研究人员披露了Apache Solr Velocity模版注入远程命令执行漏洞。攻击者通过构造特定的请求，成功利用该漏洞可直接获取服务器权限。 漏洞描述 Solr中存在VelocityResponseWriter组件，攻击者可以构造特定请求修改相关配置，使VelocityR...

网络妥协对企业数据而言，不应该意味着“游戏结束”，但调查数据显示许多公司未能妥善保护他们“皇冠上的宝石”。 根据互联网安全公司Imperva过去五年收集的数据显示，几乎一半公司的内部数据库存在已知漏洞，而平均每个脆弱的数据库都有26个公开披露的漏洞，其中一半以上是关键或高危漏洞。 虽然易受攻击的本地数据库可以从企业防...

Security Affairs 网站披露，美国网络安全和基础设施安全局（CISA）在其已知被利用的漏洞目录中增加了七个新安全漏洞。 漏洞详情： CVE-2023-25717：Cybir 的研究人员发现 Ruckus 无线接入点（AP）软件在 web 服务组件中存在一个未知漏洞。一旦用户在 AP 上启用了 web 服务组件，攻击者就可以执行跨站点请求伪造（...

大家好，我是轩辕。 注册过ChatGPT API的朋友知道，新注册的用户，OpenAI免费赠送了5美元的使用额度。 一个账号5美元，100个账号可就是500美元啊，可以用很久了！ 于是，有人就打起了坏主意，能不能找到OpenAI的bug，然后可以批量注册账号，薅OpenAI的羊毛呢！ 最近看到一篇国外的文章，有安全团队发现了OpenAI的一个漏洞，基于这个...

新的Wireshark Dissector在社区内引发了极大的兴趣和讨论，研究人员对苹果数据传输过程的安全性表示担忧。黑客可能试图抓取包含与苹果iOS和iOS用户数据相关的敏感信息的网络数据包。 这种潜在的安全风险导致了一种新的Continuity Wireshark剖析器的开发，旨在抓取iOS设备在两个或多个设备之间进行苹果数据传输时的蓝牙协议数据。 Cy...

关于Domain-Protect Domain-Protect是一款功能强大的子域名安全保护工具，可以帮助广大研究人员更好地保护自己的网站抵御子域名接管攻击。该工具支持实现以下两个目标： 扫描一个AWS组织中的Amazon Route53，并获取存在安全问题的域名记录，然后尝试执行域名接管检测; ...

安全公司 Wiz 在微软 Azure 的 Linux 虚拟机上发现了一个严重的 RCE 漏洞，黑客可通过该漏洞轻松获得 root 权限。 这些漏洞被称为 \”OMIGOD\”, 包括 CVE-2021-38647、CVE-2021-38648、CVE-2021-38645 和 CVE-2021-3864...

“如果你想搞懂一个漏洞，比较好的方法是：你可以自己先用代码编写出这个漏洞，然后再利用它，最后再修复它”。—-摘自pikachu漏洞靶场的一句话。 初学的时候玩靶场会很有意思，可以练习各种思路和技巧，用来检测扫描器的效果也是很好的选择。今天，我们来数数那些入门Web安全必不可错过的靶场。 1、vulnweb ...