Aggregator

腾讯云安全基于云视角持续监测安全威胁，关注新曝光漏洞武器，实时监测针对云上资产的各类攻击行为，感知在野攻击情况。

腾讯云安全基于云视角持续监测安全威胁，关注新曝光漏洞武器，实时监测针对云上资产的各类攻击行为，感知在野攻击情况。经过安全专家的分析和挖掘，既能看到“老而弥新”漏洞的自动化批量攻击，也可发现新曝光漏洞开

“InForSec 2025网络空间安全学术年会暨DataCon2024竞赛颁奖仪式”将于2025年1月4～5日（周六、日）在中国科学院计算技术研究所举办。本次学术活动将设立“青年学者论坛”、“安全顶

“InForSec 2025网络空间安全学术年会暨DataCon2024竞赛颁奖仪式”将于明日在中国科学院计算技术研究所举办，请大家准时参会！

Exposor Exposor is a contactless reconnaissance tool focused on technology detection across Censys, Fofa, Shodan, and Zoomeye. With a unified syntax for multi-platform querying, It gives security researchers and professionals a clear view of exposed systems, enabling quick...

The post Exposor: A Contactless Reconnaissance Tool appeared first on Penetration Testing Tools.

tetragon Cilium’s new Tetragon component enables powerful real-time, eBPF-based Security Observability and Runtime Enforcement. Tetragon detects and is able to respond in real-time to security-significant events, such as Process execution events Changes to privileges...

The post tetragon: eBPF-based Security Observability and Runtime Enforcement appeared first on Penetration Testing Tools.

环境异常 当前环境异常，完成验证后即可继续访问。 去验证

Apache Tomcat Scanner A python script to scan for Apache Tomcat server vulnerabilities. Features  Multithreaded workers to search for Apache tomcat servers.  Multiple target sources accepted:  Retrieving list of computers from a Windows domain...

The post Apache Tomcat Scanner: scan for Apache Tomcat server vulnerabilities appeared first on Penetration Testing Tools.

1. IntroductionFor the past years, we’ve seen an increasing interest in using safe applications and

HackerNews 编译，转载请注明出处： 有关Dynamics 365和Power Apps Web API中三个已修复安全漏洞的详情已公布，这些漏洞存在数据泄露风险。 这些漏洞由墨尔本网络安全公司Stratus Security发现，并于2024年5月得到修复。其中两个漏洞位于Power Platform的OData Web API Filter中，第三个则涉及FetchXML API。 首个漏洞源于OData Web API Filter缺乏访问控制，使得攻击者可访问包含敏感信息的联系人表，如全名、电话号码、地址、财务数据及密码哈希。 攻击者可利用此漏洞进行布尔搜索，通过逐个猜测哈希字符来提取完整哈希，直至找到正确值。 “例如，我们先发送startswith(adx_identity_passwordhash, ‘a’)，再发送startswith(adx_identity_passwordhash, ‘aa’)，接着是startswith(adx_identity_passwordhash, ‘ab’)，依此类推，直至返回以’ab’开头的结果，”Stratus Security指出。 “继续此过程，直至查询返回以’ab’开头的有效结果。当无更多字符返回有效结果时，即表示我们已获取完整值。” 至于微软Dynamics 365和Power Apps Web API的第二个漏洞，则在于利用同一API中的orderby子句从必要数据库表列（如联系人的主要电子邮件地址EMailAddress1）获取数据。 此外，Stratus Security还发现，FetchXML API可与联系人表结合使用，通过orderby查询访问受限列。“使用FetchXML API时，攻击者可针对任意列构建orderby查询，完全绕过现有访问控制，”该公司表示，“与先前漏洞不同，此方法无需orderby以降序排列，为攻击增添了灵活性。” 因此，利用这些漏洞的攻击者可编制密码哈希和电子邮件列表，进而破解密码或出售数据。 “Dynamics 365和Power Apps API中的漏洞再次提醒我们：网络安全需持续警惕，尤其是像微软这样掌握大量数据的大公司，”Stratus Security强调。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521