飞书是字节跳动于2016年自研的新一代一站式协作平台,旨在保障字节跳动全球数万人高效协作。它将即时沟通、日历、云文档、云盘和工作台深度整合,使成员能够在一处实现高效的沟通和流畅的协作,全...
Konni组织针对虚拟货币行业投递AutoIt恶意软件
团伙背景Konni最开始是Cisco Talos团队于2017年披露的一类远控木马,活动时间可追溯到2014年,攻击目标涉及俄罗斯、韩国地区。2018年,Palo Alto发现该类恶意软件与APT37...
新的网络钓鱼攻击使用聪明的 Microsoft Office 技巧来部署 NetSupport RAT
一项新的网络钓鱼活动针对美国组织,目的是部署名为NetSupport RAT的远程访问木马。以色列网络安全公司 Perception Point 正在跟踪绰号为 Operation Phan...
网安热评--图一乐 !
今日,在安全圈工作的大神纷纷在一个共享文档中吐槽自己呆过的安全公司。内容相当的丰富。内涵震感爆料。【腾讯文档】网络安全行业互助表 https://docs.qq.com/sheet/DQ01sRHFr...
某OA 0day审计分析
前言 本次审计的是一套Yii框架开发的OA系统,算是小0day吧,由于尚未公开,大部分都是厚码。 本篇文章由星盟安全团队成员@Zjacky师傅投稿,博客地址为https://zjackky.githu...
生成式AI可能成为DevSecOps的圣杯?
生成式AI可能成为DevSecOps的圣杯,从编写安全代码和文档到创建测试。但如果使用不当,它也可能成为主要的失败点 生成式AI预计将有助于编写安全代码,改进代码分析,创建测试,编写文档,以及协助许多...
内网敏感数据的发现
内网敏感数据的发现内网的核心敏感数据,不仅包括数据库、电子邮件,还包括个人数据及组织的业务数据、技术数据等。可以说,价值较高的数据基本都在内网中。本文重点介绍如何快速定位个人计算机,并对计算机操作系统...
赏金猎人|针对Swagger的另类绕过
前言Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。总体目标是使客户端和文件系统作为服务器以同样的速度来更新。相关的方法,参数和模型紧密集成到...
如何使用elasticsearch打造自己的搜索引擎
申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途! 公众号现在只对常读和星标的公众号才展示大图推送, 建议大家把 明暗安全 设为星标,否则可能就看不到啦! 1.漏洞背景 Elas...
XML外部实体注入小结
WHAT XML XML是类似HTML的标记语言,但它们有所不同。 其一,HTML用于表现数据,关注数据的表现形式,XML用于存储和传输数据,关注数据本身。 其二,HTML的标签是预定义的,而XML的...
【高危漏洞】 北京亿赛通电子文档安全管理系统存在命令执行漏洞
皓月当空,明镜高悬文末可体验bugSearch系统哦~漏洞早知道漏洞名称:北京亿赛通电子文档安全管理系统存在命令执行漏洞漏洞出现时间:2024年2月27日影响等级:高危漏洞说明:北京亿赛通科技发展有限...
亿赛通电子文档安全管理系统formType反序列化漏洞
【亿赛通电子文档安全管理系统formType存在xstream反序列化漏洞】 资产测绘 app="亿赛通-电子文档安全管理系统" 漏洞复现 POST /CDGServer3/formType HTTP...