每日头条1、Apple修复被利用的越界写入漏洞CVE-2022-42827 Apple在10月24日发布安全更新,修复可能已被积极利用的漏洞...
TCP/IP漏洞CVE-2022-34718 PoC还原及漏洞分析
背景和准备微软上月发布的补丁包含一个可能执行代码的TCP/IP协议漏洞。为了验证该漏洞的影响范围和可能后果,Numen 高级安全研究团队对此漏洞做了深入的分析,并通过补丁对比,还原出了PoC。本文将详...
数千GitHub仓库正在传播含有恶意软件的虚假PoC利用
关注我们带你读懂网络安全编译:代码卫士荷兰莱顿大学高级计算机科学学院的研究人员发现,GitHub 上的数千个仓库为多个漏洞提供虚假的PoC 利用,其中某些PoC 中包含恶意软件。GitHub 是最大的...
2022-10-19 有新的CVE仓库送达!
CVE-2022相关仓库的总数量 :1248描述:Proof of Concept for CVE-2022-42889链接:https://github.com/SeanWrightSec/CVE-...
神兵利器 | 日常渗透批量刷洞Tools【文末赠书】
一、工具介绍一个既可以满足安服仔日常渗透工作也可以批量刷洞的工具盒子。集合了常见的域名收集、目录扫描、ip扫描、指纹扫描、PoC验证等常用工具,方便安服仔快速展开渗透测试。二、运行界面1、基于Win环...
SZhe_Scan碎遮:一款基于Flask框架的web漏洞扫描神器
天幕如遮,唯我一刀可碎千里华盖,纵横四海而无阻,是谓碎遮——取自《有匪》碎遮SZhe_Scan Web漏洞扫描器,基于python flask框架,对输入的域名或IP进行自动化信息搜集与漏洞扫描,支持...
工具推荐篇:红队信息收集快速打点工具
免责声明本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。一、前言攻防演练的时候,想必红队的小伙伴们都会碰到一个问题,就是资产太多,如何在前期打点上占尽优势...
ThinkPHP6.0.13反序列化漏洞分析
1.前言最近有点闲下来了,不找点事干比较难受,打算找点漏洞分析一下,于是就打算看看TP的一些漏洞,ThinkPHP6.0.13是TP的最新版,八月份有师傅提交了一个issue指出TP存在反序列化问题,...
神兵利器 | 一款基于JavaFX开发的半自动化GUI漏洞POC管理工具(附下载)
项目作者:h4ckdepy项目地址:https://github.com/h4ckdepy/Un1kPoc0x01 工具介绍Un1kPoc是一款基于JavaFX开发,用于漏洞Poc集成、漏洞Poc搜索...
commons-beanutils 的三种利用原理构造与POC
写在前面 commons-beanutils 是 Apache 提供的一个用于操作 JAVA bean 的工具包。里面提供了各种各样的工具类,让我们可以很方便的对bean对象的属...
跨站请求伪造(CSRF)-攻击示例(一)
在本节中,将解释什么是跨站请求伪造(CSRF),描述一些常见的CSRF漏洞示例,并解释如何防止CSRF攻击。如何构建CSRF攻击?手动创建CSRF漏洞利用所需的HTML可能很麻烦,尤其是在所需的请求包...
漏洞挖掘工具—afrog
一、什么是afrog:afrog 是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描(挖洞)工具,PoC 涉及 CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种...
48