2025年 第16周 微信公众号精选安全技术文章总览

    洞见网安 2025-4-21


    0x1 JBoss(现称WildFly)反序列化漏洞深度剖析

    POP Star安全 2025-04-26T20:26:49 © POP Star安全

    Example Image


    本文对JBoss(现称WildFly)反序列化漏洞进行了深度剖析。首先介绍了JBoss的背景和发展历程,随后深入分析了Java反序列化漏洞的本质和原理。文章详细讨论了几个典型的JBoss反序列化漏洞,如CVE-2015-7501、CVE-2013-4810和CVE-2017-7504,包括它们的漏洞原理、影响版本和验证方法。接着,文章对漏洞的危害进行了分析,包括远程代码执行、敏感数据泄露和服务器完全沦陷等风险。最后,提出了防御修复方案,包括升级至最新版本、移除危险组件、启用Java安全管理器以及实施深度防御策略。全文旨在帮助网络安全学习者更好地理解和防御此类漏洞。

    应用安全 漏洞分析 Java安全 代码审计 漏洞利用 防御策略 企业安全 开源软件安全


    0x2 xss利用工具,可记录目标访问页面、cookie等

    棉花糖网络安全工具箱 2025-04-26T15:30:46 棉花糖糖糖

    Example Image


    本文介绍了一款名为JS-Tap的网络安全工具,该工具是一套专为红队人员设计的JavaScript攻击载荷及配套工具,适用于渗透Web应用程序。JS-Tap既可作为XSS攻击载荷,也可用作后渗透阶段的持久化植入模块。它不需要目标用户认证,也不依赖于对目标应用的内部结构认知,只需注入JavaScript代码即可生效。该工具专注于客户端层面,通过深度监控客户端代码实现数据采集,包括客户端IP地址、操作系统、浏览器信息、用户输入数据、访问URL、未启用HttpOnly标识的Cookie、Local Storage与Session Storage内容、页面HTML源码、页面截图、XHR接口调用详情等。JS-Tap支持两种运行模式:陷阱模式和植入模式。陷阱模式通过iFrame陷阱技术建立持久化攻击链,而植入模式适用于直接修改目标应用代码的场景。文章还提醒用户在实战部署前需要重命名接口端点、删除注释信息并进行代码混淆,并强调配置项中的密钥必须修改以避免安全隐患。

    XSS攻击 渗透测试工具 后渗透 客户端监控 JavaScript利用 红队工具 Web安全 安全研究


    0x3 【云安全】Docker不安全配置及内核漏洞逃逸

    皇后红队 2025-04-25T19:17:43

    Example Image


    docker常见的逃逸方法

    Docker 安全 容器逃逸 网络安全 漏洞分析 渗透测试 系统安全 自动化工具


    0x4 【AI风险通告】NVIDIA NeMo存在多个高危漏洞

    安恒信息CERT 2025-04-24T18:00:31

    Example Image


    近日,安恒信息CERT发现NVIDIA NeMo存在多个高危漏洞,包括CVE-2025-23249、CVE-2025-23250和CVE-2025-23251。这些漏洞可能导致远程代码执行、任意文件写入和代码生成控制不当等问题,从而引发代码执行和数据篡改。NVIDIA NeMo是一款端到端云原生框架,用于构建和部署生成式AI模型。漏洞影响了NVIDIA NeMo的多个版本,包括小于25.02的版本。官方已发布修复方案,建议用户更新至安全版本25.02以解决这些问题。

    NVIDIA NeMo 漏洞 远程代码执行 反序列化漏洞 路径遍历漏洞 高危漏洞 AI 安全 云原生框架 代码执行和数据篡改


    0x5 漏洞通告 | Windows更新堆栈权限提升漏洞(CVE-2025-21204)

    中成信息 2025-04-24T14:49:12 中成信息科技

    Example Image


    本文详细介绍了CVE-2025-21204漏洞,这是一个影响Windows 10(21H2及以上)、Windows 11(所有版本)和Windows Server 2022的本地权限提升漏洞。该漏洞允许攻击者通过滥用目录联结或符号链接劫持SYSTEM级进程访问的受信任路径,从而以提升的权限执行任意代码。微软已在2025年4月发布了补丁(KB5055518/KB5055523等),但仍有大量用户未更新。文章提供了漏洞的技术细节、影响范围、漏洞原理、验证方法以及修复建议,包括立即更新系统补丁、监控异常行为和实施最小权限原则等。此外,还提供了一段基于PowerShell的漏洞利用演示,帮助用户理解攻击过程。

    Windows 漏洞 本地权限提升 安全补丁 权限控制 安全研究 系统安全 漏洞利用 攻击链 安全意识


    0x6 漏洞通告 | Oracle Scripting iSurvey模块远程代码执行漏洞(CVE-2025-30727)

    晟晖科技 2025-04-24T11:30:00

    Example Image


    Oracle近日发布了关于Oracle E-Business Suite中Oracle Scripting组件的严重漏洞通告,漏洞编号为CVE-2025-30727。该漏洞存在于Oracle Scripting的iSurveyModule中,允许未认证的攻击者通过HTTP网络远程利用该漏洞。成功利用此漏洞可能导致Oracle Scripting被完全攻陷,对系统安全构成严重威胁。受影响的Oracle E-Business Suite版本范围是12.2.3至12.2.14。Oracle已经发布了安全补丁,建议受影响的用户尽快更新以修复漏洞,并建议用户进行资产自查和采取预防措施,以防止遭受黑客攻击。

    CVE-2025-30727 Oracle Scripting 远程代码执行 未经认证的访问 Oracle E-Business Suite 安全公告 补丁更新


    0x7 Weblogic反序列化漏洞深度剖析:从原理到防御的全链路解读

    POP Star安全 2025-04-23T18:09:19 © POP Star安全

    Example Image


    本文深入剖析了Weblogic反序列化漏洞,揭示了其在企业级漏洞威胁中的严重性。文章首先介绍了Oracle WebLogic Server的背景,随后详细解析了反序列化漏洞的原理,包括漏洞触发点、攻击链以及漏洞的本质。接着,文章回顾了Weblogic历史漏洞版本,列出了关键漏洞的时间轴、对照表以及CVE详细信息。通过对典型攻击场景的还原,展示了攻击者如何通过探测服务端口、发送恶意数据包、触发反序列化执行链以及植入shell来获取系统权限。最后,文章提供了防御修复指南,包括应急方案、正式方案和增强方案,强调了采用纵深防御和持续监控的重要性。文章最后还邀请读者分享企业对Weblogic漏洞的排查经验,并鼓励关注获取更多安全技术内容。

    Web应用安全 漏洞分析 Java安全 Oracle WebLogic 企业级应用安全 安全防御策略 安全漏洞库 技术视角


    0x8 Chrome 127+ 浏览器解密

    棉花糖网络安全工具箱 2025-04-22T16:25:29 棉花糖糖糖

    Example Image


    本文介绍了一种针对Chrome 127及以上版本浏览器的解密工具,该工具能够解密基于Chromium内核的浏览器(包括Chrome、Brave、Edge)中存储的密码(ABE)。工具通过向运行中的浏览器进程注入DLL文件,并调用IElevator服务来绕过路径验证机制,从而实现解密。文章详细说明了工具的用途、支持版本、编译指南和使用说明,并强调了该工具仅限网络安全研究与教学用途,需遵守法律法规。此外,文章还提供了下载链接和相关资料链接,并附有公众号的广告信息。

    浏览器安全 密码学 逆向工程 漏洞利用 网络安全工具 编程技巧


    0x9 【风险通告】PyTorch存在远程代码执行漏洞(CVE-2025-32434)

    安恒信息CERT 2025-04-21T18:06:20

    Example Image


    本文介绍了PyTorch深度学习框架中存在的一个严重远程代码执行漏洞(CVE-2025-32434)。该漏洞评级为1级,CVSS3.1评分为9.8,表明漏洞危害性极高。漏洞存在于使用torch.load加载模型且weights_only=True时,攻击者可利用此漏洞在目标机器上执行任意命令,可能导致数据泄露、系统入侵,甚至在进行横向移动。受影响的PyTorch版本为<= 2.5.1,而安全版本为>= 2.6.0。官方已发布修复方案,建议用户尽快更新至安全版本。此外,文章还提供了使用pip和conda更新PyTorch的命令,并提供了相关技术支持的联系方式。

    漏洞分析 深度学习框架 代码执行 漏洞利用 版本更新 网络安全风险 Python

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。