关注我们带你读懂网络安全共发现6个漏洞。网络安全研究人员近日披露了Ollama人工智能(AI)框架中的六个安全漏洞,这些漏洞可能被恶意行为者利用,执行包括拒绝服务(DoS)、模型污染和模型盗窃在内的多...
从一次攻击过程看EDR的作用
一、EDR是什么? EDR是最近比较流行的一个产品,其全称为:Endpoint Detection and Response,端点检测与响应平台。 EDR不是杀毒软件,不是杀毒的升级版...
分析Actuator未授权出现的原因
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! actuator 1.x和2.x的区别 https://bin4xin....
缓存配置错误导致授权绕过
来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 一个电子商务网站它有 2 个资产 target.com admin.target.com target....
12个高级端点安全关键特性防护方案
从移动设备、PC、服务器再到云上的容器,各种类型的端点设备应用日益复杂,同时也成了黑客们重点关注的攻击目标。对于企业的安全团队来说,有效管理并保护端点应用安全是一项充满挑战的工作。为了应对不断变化的端...
针对Swagger接口泄露未授权的初探
本文由掌控安全学院 - Tobisec 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 这篇文章呢主要是给师傅们分享下最近在学...
Spring Actuator端点的Bp被动扫描插件
打算不定期分享一些github不错的项目,仅作分享。侵权删! 确实靠它捡了不少洞,打了一些shell 下载 https://github.com/whwlsfb/SpringSpider ...
什么是扩展检测和响应(XDR)?
扩展检测和响应(XDR)是一种更全面的威胁检测和响应能力,现在已成为大多数网络安全提供商的常见产品。这种云原生、云可扩展的安全解决方案可以统一和转换多个遥测源。Forrester将XDR定义为“端点检...
CVE-2024-38856:Apache OFBiz 存在未经授权的代码执行漏洞
Apache OFBiz 是广泛采用的开源企业资源规划 (ERP) 平台,最近发现一个漏洞,由于可能存在未经授权的代码执行,因此引发了紧急安全警告。该漏洞的编号为CVE-2024-38856,级别为“...
AWS SSRF漏洞可在生产实例上获得Root权限(015)
标题:AWS SSRF to Root on production instance — A bug worth 1.75Lacs 作者:Avinash Jain (@logicbomb) 原文地址:...
Spring未授权星号脱敏获取
一.漏洞介绍 spring actuator是springboot用来管理资源处理数据、映射url端点等具有一系列功能的工具,当没有配置安全访问时,就会把一些端点数据和数据库敏感信息暴露在外 /aut...
Git 出错:通过暴露 .git 目录入侵应用程序
每次渗透测试都从侦察开始,我的初始步骤总是涉及寻找可能有趣的端点。在一次交战中,我遇到了一个暴露的 .git 端点,我将讨论如何利用它来获得对应用程序的管理员级访问权限。 发现 在运行feroxbus...