08 2024 档案
摘要: 工业和信息化部近日公布了一批存在安全问题的APP和SDK名单,这些应用和软件开发工具包(SDK)因违反相关法律法规,涉及违规收集个人信息、信息窗口乱跳转等问题被通报。 此次通报的APP和SDK涉及多个应用领域,包括记账、游戏、实用工具、影视、网络加速、广告服务等。通报中指出,部分应用如“权鑫记账
阅读全文
摘要:信息泄露漏洞是发现和报告的重要目标。虽然它们可能不会带来很丰厚的回报,但发现它们表明Web应用程序的安全性较差,这可能有助于发现更严重的漏洞。 一、常见的信息泄露漏洞类型 1.1服务器标识版本 服务器标识版本能够揭示服务器上运行的特定软件及其版本,这可以被用来寻找已知漏洞。 1.2错误信息 详细的错
阅读全文
摘要:摘要:随着旅游服务行业数字化转型,数据逐渐成为核心生产要素。数据安全保障已成为在线旅游企业不可忽视的工作。本文旨在分析了近年来国内发布施行的数据安全相关法律法规和标准文件。为在线旅游平台企业数据安全保护提供了措施指导,提出了数据安全合规评估的体系框架和评估指标。为在线旅游企业进行数据安全合规评估提供
阅读全文
摘要:01工具介绍 (下载地址见最后) 在hw等攻防演练中,信息收集做为演练厨师阶段最重要的步骤,方式方法尤为重要,好的工具达到事半功倍的效果。OneForAll是一款集百家之长,功能强大的全面快速子域收集终极神器。 解决以下痛点: 在渗透测试中信息收集的重要性不言而喻,子域收集是信息收集中必不可少且非常
阅读全文
摘要:漏洞介绍 (poc下载地址见最后) 泛微披露了e-cology远程代码执行漏洞。该漏洞允许攻击者通过e-cology-10.0前台获取管理员访问令牌,然后利用JDBC反序列化,实现远程代码执行。 漏洞描述 通过/papi/passport/rest/appThirdLogin接口获取管理员账号票据,
阅读全文
摘要:产品介绍: 用友U8CRM模块是一个综合性的客户关系管理系统,旨在帮助企业从客户出发,以客户关系为管理对象,通过动态管理客户信息、获得 客户知识和评判客户价值状况,来全面提升并保持企业的竞争优势及盈利能力。 Fofa语句: body="用友 U8CRM" poc GET /pub/help.php?
阅读全文
摘要:某长a车主数据泄露 类型:数据泄露 时间:2024/8/18 来源平台:长安不夜城 数据量:100W卖家号称手机号去重后90w 是否存在数据样例:是 影响行业:汽车行业 涉及地区:无 真实性:未知 涉及数据字段:省份、销售公司、姓名、地址、身份证号、电话、车型号、vin、牌照 某匿名卖家近期在暗网售
阅读全文
摘要:8月16日上海市通信管理局官方微信公众号“上海通信圈”发布《上海市通信管理局关于侵害用户权益行为app的通报(2024年第一批)》。本次app通报为2024年第一批。内容显示本次共通报26款移动互联网应用程序涉及app和小程序。 应用来源:本次检测的应用来源均为主流分发平台如应用宝、百度手机助手、v
阅读全文
摘要:“网信上海”微信公众号自6.28起分享了36例网络数据安全风险评估试点的优秀案例和单位,我在此基础上做了pdf合集的整理,供各位数据安全从业人员学习。 背景:为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规,推动建立我市网络数据安全风险评估机制,提升全市数据安全防护能力和水平,20
阅读全文
摘要:1、畅捷通简介 畅捷通CRM(Customer Relationship Management)是一种客户关系管理系统。 2.漏洞描述 畅捷通CRM存在sql注入漏洞,可以前台攻击(虽然页面是登录页面)或者绕过(DontCheckLogin=1)攻击直接访问。 3.POC脚本获取关注公众号:魔都安全
阅读全文
摘要:工具介绍 (下载地址见最后) 集成漏洞系统包括:用友、泛微、蓝凌、万户、致远、通达、帆软、金蝶、金和、红帆、宏景、浪潮、普元、亿赛通、海康威视、飞企互联、大华DSS、jeecg-boot 集成memshell功能:用友NC、用友U8C、亿赛通、帆软channel、jeecgboot注入内存马。目前集
阅读全文