2024-HW最新漏洞整理及相应解决方案(七)

最新推荐文章于 2024-09-27 09:06:22 发布
最新推荐文章于 2024-09-27 09:06:22 发布
阅读量473 收藏 8
点赞数 5
分类专栏: 2024HW最新漏洞及解决方案 文章标签: 安全 web安全 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72210904/article/details/140987280
版权

本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关,本次测试仅供学习使用。如有内容争议或侵权,请及时私信我们!我们会立即删除并致歉。谢谢!

前言:

漏洞是基于部分安全厂家、软件厂商的公众号或官方网站,以及一些非官方渠道等途径整理的HW安全漏洞情报,情报里附含漏洞详情和解决方案。护网期间我将持续更新分享,希望可以在护网期间帮助到大家

漏洞:

1.泛微e-cology9 WorkflowServiceXml SQL注入漏洞CVE-2024-28995

升级版本:泛微生态9 >= 10.64.1

https://www.weaver.com.cn/cs/securityDownload.html#
参考链接:https://ti.qianxin.com/vulnerability/notice-detail/1070?type=risk

2.GitLab身份认证绕过漏洞(CVE-2024-6385)

升级版本:建议升级到最新版本
https://about.gitlab.com/update/
参考链接:https://ti.qianxin.com/vulnerability/notice-detail/1066?type=risk

3.Apache Tomcat HTTP/2 拒绝服务漏洞(CVE-2024-34750)

升级版本;建议用户升级到以下Apache Tomcat的修复版本或更高的版本
Apache Tomcat 11.0.0-M21 https://tomcat.apache.org/download-11.cgi
Apache Tomcat 10.1.25 https://tomcat.apache.org/download-10.cgi
Apache Tomcat 9.0.90 https://tomcat.apache.org/download-90.cgi
参考链接:https://ti.qianxin.com/vulnerability/notice-detail/1057?type=risk

4.KubePI 安全漏洞CVE-2024-36111

安装官方发布补丁:建议升级至最新版本
https://github.com/1Panel-dev/KubePi/releases/tag/v1.8.0

5.WordPress plugin ComboBlocks安全漏洞

升级版本:升级到2.2.86或最新版本https://www.wordfence.com/threat-intel/vulnerabilities/id/1512d911-167f-4653-ab20-cb057b83dab1?source=cve

6.用友U9 cloud存在逻辑缺陷漏洞

安装官方补丁:补丁解决刷新token时加入秘钥验证
https://security.yonyou.com/#/patchInfo?identifier=64a0364dff3743a5ba7328ebda2c6b70

2024hw 蓝队面试题合集
Sumarua的博客
07-01 787
2024HW蓝队面试题合集,面试题及答案
重保任务重,HW压力大,看多维融合重保解决方案为您解忧
NateIT的博客
05-30 3015
01 提高组织协同效率 解决应急响应、应急预案等关键安全活动缺乏信息化支撑的问题,导致组织协同效率低,包括内部组织、外部组织(安全外包服务提供商)。 解决多厂商、多人协同,沟通成本高、执行效率低、速度慢的问题。 02 解决安全数据孤岛问题 解决多设备、多品牌、多平台(态势感知平台、SIEM、WAF、IPS/IDS)数据孤岛,数据协同难度大,误判高、可维护性差的问题。 解决具有相同或重复任务的大量告警时,容易产生告警疲劳,可能导致响应时...
2021 HW 漏洞清单汇总 ( 附 poc )
热门推荐
gjgj的博客
04-23 1万+
2021 HW 漏洞清单汇总 2021.4.8——4.22 披露时间 涉及商家/产品漏洞描述 2021/04/08启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞(历史漏洞) CNVD-2021-17391 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞 CNVD-2021-12793 2021/04/08禅道项目管理软件11.6禅道 11.6 sql注...
2024HW漏洞总结500+个漏洞|威胁情报第|HW情报
weixin_43167326的博客
09-02 3486
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
2024HW漏洞集合+检测工具(一)
最新发布
2401_84578953的博客
09-27 715
*免责声明:**涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透,否则产生的一切后果自行承担!2024护网刚刚结束,各位参加HW的“天命人”辛苦啦!在这里,小智第一时间给大家更新了HW漏洞库,同时给大家提供一款检测工具,各位看官里边请!一、漏洞库今年HW所有漏洞做了汇总,包括复现过程,POC等,有想要的小伙伴可以后台私信小智。二、检测工具(持续更新)主要是把1day做了一些收集,不用登录的一些漏洞,后续还会持续更新,有想要的小伙伴可以后台私信小智。
2024-HW最新漏洞整理相应解决方案(一)
m0_72210904的博客
07-29 1806
漏洞是基于部分安全厂家、软件厂商的公众号或官方网站,以及一些非官方渠道等途径整理HW安全漏洞情报,情报里附含漏洞详情和解决方案。护网期间我将持续更新分享,希望可以在护网期间帮助到大家。
2024HW --->反序列化漏洞
huohaowen的博客
04-05 1073
对于反序列化,这个漏洞也是常用的,不过涉及到的方面非常非常广,比其他漏洞也难很多于是本篇文章就分成PHP和JAVA的反序列化来讲讲。
护网HW面试常问——组件&中间件&框架漏洞(包含流量特征)
DamnVanish的博客
07-13 1744
由于Apache Shiro cookie中通过AES-128-CBC模式加密的rememberMe字段存在问题,用户可通过Padding Oracle加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行rememberMe cookie通过AES-128-CBC模式加密,易受到Padding Oracle攻击。这就涉及到 Log4j 漏洞中的关键问题,即恶意用户可以构建特殊的日志消息,将恶意的表达式作为占位符,在解析时触发恶意行为。
2024hw蓝队初级面试总结_weblogic反序列化流量特征(1)
2401_84254530的博客
05-02 2134
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1383
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
2024大数据面试题汇总(完善中。。。)
为人性僻 语不惊人
06-18 1627
自己汇总的面试题,涉及到大数据的常用组件,将持续更新... ... 部分图片不全,后期继续完善 更新记录: 2024-6-18 初版0.1.0 :hadoop,hbase,doris,hive,mysql,es 2024-6-26 1.0.0 : java,spark,redis,kafka,flink,kafka,数据仓库
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 1325
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
HW漏洞威胁情报第三十八天|HW情报
weixin_43167326的博客
08-29 757
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
HW必备】用友NC-Cloud存在17处漏洞合集
wananxuexihu的博客
06-24 1812
漏洞挖掘是指通过分析软件、系统或网络中存在的安全漏洞来发现并利用这些漏洞漏洞挖掘是信息安全领域的一项重要工作,可以帮助企业和组织提高系统的安全性,避免黑客攻击和数据泄露。漏洞挖掘的流程一般可以概括为以下几个步骤:确定目标:确定要挖掘的软件或系统。这可能是一个应用程序、操作系统、网络设备或其他系统。收集信息:收集有关目标的信息,包括架构、协议、版本和配置等。这些信息可以通过互联网搜索、手动扫描、自动化工具和其他途径获得。分析漏洞:通过手动和自动化技术进行漏洞分析,识别潜在的漏洞类型和攻击面。
HW-常见攻击方式和漏洞原理(2)
m0_37638874的博客
08-10 673
/由于%00做了截断,所以最后服务器接收到的文件名依然还是aaa.php,因为在接收的时候,就直接对url编码进行解码,然后再去接收文件,这时候的文件名就变成了aaa.php,后面的bbb.jpg已经被截断。eval()、assert()、system()、exec()、shell_exec()、passthru()、escapeshellcmd()、pcntl_exec()等。如常见的一句话后门程序:...
2024 HW前需要关注的高危漏洞清单(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
06-10 929
当前,在规模较大和重要性较高的网络攻防演练中,对于蓝队(防守方),在演练中遇到红队(攻击方)0day的机会还是相当大的,要在短时间达成演习目的,拿到目标靶机的权限,动用一些先进的武器(0day)进行快速突破是最高效的。基于红、蓝双方攻防演练中需要关注的高危漏洞需求,安恒信息CERT、木牛实验室、安全研究院等支撑攻防演练的中台部门及时梳理了近年来在红蓝对抗演练中的高频率漏洞清单,和实近期实际红队任务中依然还暴露的漏洞清单,希望能为蓝队(防守方)提供参考,及时查漏补缺和加固系统,避免遭受攻击失分。
2023 HW 必修高危漏洞集合
holyxp的博客
07-21 3554
高危风险漏洞一直是企业网络安全防护的薄弱点,也成为 HW 攻防演练期间红队的重要突破口;每年 HW 期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。HW 攻防演练在即,输出HW 必修高危漏洞手册,意在帮助企业在 HW 攻防演练的前期进行自我风险排查,降低因高危漏洞而“城池失守”的风险。
HW漏洞威胁情报第五天|HW情报
weixin_43167326的博客
07-27 933
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值