搜索中心

2021年12月10日，阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过.

戳我查看修复方案

前言为了方便外包仔在客户现场漏扫所以才集成的这个系统本质上只是集成了不同的漏扫AWVS,Nessus,Qing

预览

预览

预览

预览

754人阅读

2024-07-17

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

当地时间7月24日，美国电脑安全技术公司“众击”发布了其对此次大规模网络故障初步审查的详细信息，将网络故障归咎于其网络安全平台内容配置更新中的一个漏洞。

预览

预览

预览

预览

137人阅读

2024-07-26

0x01 工具更新增加了注入内存马的功能，修复了检测漏洞的判断方式，减少了误报率0x02 使用方法由于程序调

预览

预览

预览

预览

800人阅读

2024-07-19

官方在 4 月 19 日发布了重要补丁更新 CPU（Critical Patch Update），其中修复了存在于Oracle WebLogic Server 中的多个高危漏洞： https://www.oracle.com/security-alerts/cpuapr2023.html

Ecology 官方在 4 月 18 日发布了补丁更新，修复了一处由墨云科技安全研究员报送的 SQL 注入漏洞。

安全资讯导视 • Crowdstrike更新导致全球近千万台Windows蓝屏死机• 重大事故！

该漏洞影响 Apache OFBiz 18.12.14 及以下版本，强烈建议用户立即升级到 18.12.15 或更新版本。

预览

预览

135人阅读

2024-08-08

1. 通告信息近日，安识科技A-Team团队监测到Oracle发布了10月安全更新，本次更新共包含387个新

该漏洞影响到10.14.4之前的所有版本的Android Telegram，已在10.14.5版本中更新。

预览

预览

预览

预览

143人阅读

2024-07-23

2024年6月6日，PHP官方发布了多个新版本，其中都包含对编号为CVE-2024-4577的安全漏洞的修复更新。该漏洞是PHP CGI的参数注入漏洞，是对CVE-2012-1823漏洞的修复绕过。

前言 最近看到许少的推有说到Zip Slip这个漏洞导致的RCE，其实我在代码审计的时候确实发现有不少功能模块都是使用ZIP来解压，其实还是在真实系统中经常见到的。 于是想着好久没有写过博客了，想借着这次机会更新一下吧，免得读者以为我在偷懒没学习了~ Zip Slip是什么漏洞 Zip Slip是一

预览

预览

预览

预览

191人阅读

2024-07-19

近期，Google紧急发布了一则关于WebP的安全修复，并指出该漏洞极有可能是BLASTPASS攻击中使用的漏洞。据不完全统计，WebP组件的下游软件可能超过百万款，或将使其成为下一个Log4Shell漏洞，建议及时更新到最新版。

Spring Boot的开源渗透框架，主要用作扫描Spring Boot的敏感信息泄露端点，并可以直接测试Spring的相关高危漏洞。

产品

漏洞扫描

启明星辰

425

0

启明星辰的天镜脆弱性扫描与管理系统是一款自主研发的漏洞扫描产品，专注于网络脆弱性分析、评估与管理。它具备资产发现、多引擎分布式部署、实时更新漏洞库等功能，支持IPv4/IPv6双协议栈，依托ADlab的权威漏洞知识库，为用户提供全面、持续的安全保障。

产品

RayWSS 便携式漏洞评估系统

远江盛邦

247

0

便携式漏洞评估系统（RayWSS）是一款便携式综合漏洞发现与评估系统。

产品

亚信漏洞扫描系统

亚信安全

274

0

亚信安全漏洞扫描系统是由亚信安全团队基于深厚的攻防经验和多年实战经验精心打造的一款全方位安全评估系统。该系统集系统扫描、Web 扫描、配置核查和口令猜测于一体，旨在帮助用户发现并解决企业内的安全脆弱性问题。

产品

RayScan 一体化漏洞评估系统

远江盛邦

391

0

一体化漏洞评估系统（RayScan）是盛邦安全结合多年的漏洞挖掘和安全服务实践经验自主研发的综合漏洞发现与评估系统。

产品

明鉴数据库漏洞扫描系统

安恒信息

224

0

全面的数据库漏洞扫描工具

产品

明鉴Web应用漏洞扫描系统

安恒信息

337

0

领先的Web应用安全评估工具

产品

绿盟WEB应用漏洞扫描系统WVSS

绿盟科技

435

0

绿盟Web应用漏洞扫描系统是具备绿盟科技自主知识产权的安全产品，以软硬件适配的灵活形态、分钟级的安装配置、全面快速的检测能力、多环境适应性和高可信度报表成为Web应用安全评估的坚实利器，协助维护人员提前发现Web应用系统中隐藏的漏洞，根据评估工具给出详尽的漏洞描述和修补方案，指导维护人员进行安全加固，防患于未然。

产品

斗象VIP漏洞情报生产运营平台

斗象科技

241

0

斗象科技的VIP漏洞情报生产运营平台，提供全天候多源情报监测，快速识别资产风险，动态评估漏洞危害，支持自动关联脆弱资产，提供精准修复方案。平台具备漏洞预警、优先级评估、风险定位、PoC/EXP验证等技术优势，助力企业提升漏洞修复效率，强化全链路防护。

产品

云智威胁情报及规则库

深信服

274

0

云智-威胁情报及规则库订阅为深信服下一代防火墙产品提供安全特征库和内容识别库更新服务，包括IPS漏洞攻击特征库、Web应用防护识别库、僵尸网络与病毒防护库、PVS实时漏洞攻击分析库、应用识别库和URL分类库，保持防火墙具备监测并防御最新威胁的能力。

产品

百川漏扫服务

长亭科技

1.7k

0

百川云漏洞扫描服务是一款基于大模型的 SaaS 漏洞扫描服务，可以轻量化的进行资产风险的快速扫描，并通过大模型提供报告解读服务。

预览

预览

预览

预览

产品

巡哨

默安科技

769

0

巡哨系统从攻击者视角帮助企业发现未知资产，通过漏洞风险、高危服务、外部威胁情报等多维度监控，实现资产透明化管理和安全风险监控。

产品

洞鉴 X-RAY

长亭科技

2k

2

洞鉴是一款从资产视角出发，集Web漏洞扫描、主机服务漏洞扫描、基线合规检查于一体，实现资产风险闭环管理的安全评估系统。

产品

Nessus

264

0

Nessus 是一款由 Tenable Network Security 公司开发的漏洞扫描工具，它帮助组织识别和修复网络安全漏洞，确保系统的安全性。

产品

nuclei

660

0

基于简单 YAML DSL 的快速且可定制的漏洞扫描程序。

预览

预览

产品

绿盟远程安全评估系统 RSAS

绿盟科技

259

0

绿盟远程安全评估系统是绿盟科技结合多年的漏洞挖掘和安全服务实践经验，自主研发的新一代漏洞管理产品，它高效、全方位的检测网络中的各类脆弱性风险，提供专业、有效的安全分析和修补建议，并根据安全管理流程对修补效果进行审计，最大程度减少攻击威胁，是您身边专业的“漏洞管理专家”。

产品

ZoomEye

知道创宇

238

0

ZoomEye Pro集合全面资产发现梳理、精准详细信息提供、重要漏洞影响评估、日常安全管理及数据输出等功能为一体的综合的网络空间资产安全管理系统

产品

STORK 软件成分分析平台

蜚语科技

310

0

于传统软件成分分析技术之上叠加了前沿的静态分析技术，帮助用户准确的梳理软件成分， 更加精确的发现三方漏洞与License风险。

产品

TopScanner脆弱性扫描与管理系统

天融信

450

0

天融信脆弱性扫描与管理系统TopScanner是一款可以高效、全方位检测网络中各类脆弱性风险的产品，系统内置多种扫描引擎，从系统漏洞、数据库漏洞、Web漏洞、弱口令风险、基线配置等多角度进行信息资产的脆弱性审计，提供专业的安全分析和修补建议，并能够与防火墙、态势感知等系统联动形成综合防护方案，全面提升信息系统的安全性。同时， TopScanner深度融合基于天融信天问大模型的AI助手“小天”，可实现基于AI的漏洞数据分析和智能AI交互能力，提升智能运维能力。

产品

云安全中心

阿里云

615

0

阿里云主机安全是一个实时识别、预警安全威胁的服务器安全管理系统，通过漏洞扫描、病毒查杀、防篡改、防勒索等安全检测能力，助您实现多云主机自动化安全运营

产品

创宇盾

知道创宇

283

0

知道创宇云防御拥有大量的黑客攻击样本库，创宇盾利用知道创宇网络空间搜索引擎ZoomEye、Seebug漏洞社区及7X24小时实时防御的上百万业务系统数据，帮助包括互联网企业、政府机构、民营企业建立全方位防御体系，覆盖Web业务系统、门户网站、Web API、移动APP、小程序、AI大语言模型（LLM）等多种应用场景，提供持续高可靠的攻击防护能力。

厂商

CrowdStrike

307

0

CrowdStrike是美国主要的云、终端安全厂商之一，成立于2011年，2024年6月其市值一度接近千亿美元，是全球市值最大的网络安全上市公司之一

厂商

斗象科技

413

0

斗象科技，成立于2014年，是国内知名的网络安全数据分析与在线安全运营服务提供商。作为国家级网络安全支撑单位，斗象科技旗下拥有FreeBuf、漏洞盒子等品牌，提供全面的安全产品与服务，覆盖金融、政府、互联网等多个行业。公司积极参与国家标准制定，连续支持国家级网络安全活动， 致力于构建更安全的数字世界。

厂商

保旺达

275

0

公司以“创造更安全的数字未来"为使命，基于自主创新技术做精做深全系数据安全产品。

厂商

迪普

355

0

迪普科技 以“让网络更简单、智能、安全”为使命，聚焦于网络安全及应用交付领域，是一家集研发、生产、销售于一体的高科技上市企业。

厂商

默安科技

354

0

默安科技凭借完整“平台+工具+服务”的SDL/DevSecOps全流程解决方案，抓源头、治漏洞、灭风险，为政企数字化业务安全赋能

厂商

四叶草安全

587

0

西安四叶草信息技术有限公司（简称：四叶草安全）是一家实战创新型网络安全企业，由马坤创办于2012年。

厂商

明朝万达

214

0

北京明朝万达科技股份有限公司成立于2005年，是中国新一代信息安全技术企业的代表厂商，专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务。

厂商

墨菲安全

426

0

墨菲安全提供专业的软件供应链安全管理解决方案，能力包括软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等，助您打造完备的软件开发安全能力

厂商

山石网科

444

0

山石网科是中国网络安全行业的技术创新领导厂商，由一批知名网络安全技术骨干于2007年创立，并以首批科创板上市公司的身份。

厂商

华顺信安

454

0

华顺信安从网络空间资产维度出发，为国家网络空间防线提供基础安全能力支撑，以优质的产品和服务帮助政府和企事业单位增强实战能力，优化网络安全防护体系。

厂商

博智安全

224

0

博智安全专注以网络靶场和工业互联网安全细分领域为核心方向。

厂商

瑞数

326

0

瑞数信息作为中国Bot自动化攻击防护领域的创新和引领者，自2012年成立以来迅速成长，覆盖上千家客户。

厂商

威努特

529

0

威努特是国内工控安全行业领军者，凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业

厂商

长亭科技

3.6k

3

长亭科技是国际顶尖的技术驱动型网络安全公司，专注为企业级用户提供高质量的应用安全防护解决方案，为企业用户带来更简单、更智能、更省心的安全产品及服务。

漏洞管理（Vulnerability Management）是一种系统化的方法，用于识别、评估、报告和缓解组织内网络资产中的安全漏洞。这个过程是网络安全的重要组成部分，旨在减少潜在的安全风险，防止漏洞被攻击者利用。

漏洞扫描是一种网络安全过程，它使用自动化工具来检测系统、网络或应用程序中的安全漏洞。这些工具通常被称为漏洞扫描器或漏洞评估工具，它们可以帮助组织识别和修复可能被攻击者利用的安全弱点。

漏洞挖掘

漏洞情报

漏洞修复

厂商

安芯网盾

288

0

安芯网盾帮助客户防御并终止无文件攻击、0day漏洞攻击和内存攻击等高级威胁，切实有效保护客户核心业务不被阻断，核心数据资产不被窃取。

厂商

魔方安全

290

0

公司以“随时洞察和有效缓解网络空间风险”为使命, 专注于网络空间资产安全相关的技术研究和产品研发，提供该领域专业的产品及解决方案，包括：外部攻击面管理EASM（SaaS）、网络资产攻击面管理CAASM、漏洞管理CVM、攻击面精细化运营服务、安全攻防服务。

厂商

傲盾

278

0

北京傲盾软件有限责任公司，以下简称"傲盾公司"，是注册于中关村的高新技术企业，自 1998 年开始， 就一直致力于 DDoS 防火墙产品的研发。基于持续的技术研究和技术创新， 傲盾公司在漏洞挖掘和防护技术、 黑客攻击防御技术、非法信息监控技术、网络加速技术、IDC整体解决方案等多个领域积累了丰富的经验。

厂商

安华金和

267

0

安华金和提供专业的数据安全解决方案、咨询服务和切实可落地的安全技术和产品应用，产品涉及数据库审计、数据库防火墙、数据脱敏与漏洞防护、数据库加密、数据安全运营等

容器安全（Container Security）是指一系列措施和实践，旨在保护容器化应用程序及其运行环境免受安全威胁和漏洞的影响。容器是一种轻量级、可移植的、自给自足的软件运行环境，它可以包含应用程序及其所有依赖项。容器技术，如Docker，以及容器编排工具，如Kubernetes，已经被广泛应用在云计算和微服务架构中。

托管安全服务（Managed Security Service）是一种服务提供模式，其中外部服务提供商负责管理和执行客户的某些安全功能和流程。MSS提供商通常提供一系列服务，包括但不限于安全监控、安全事件管理、漏洞评估和管理、安全咨询和威胁情报等。MSS的目标是帮助客户提高其安全姿态，同时减少自身需要投入的资源和专业知识。

CAASM，即网络资产攻击面管理（Cyber Asset Attack Surface Management），是一种专注于帮助安全团队解决持续的资产可见性和漏洞挑战的网络安全技术。CAASM的目标是提供一个全面的视图，以识别和理解组织内所有资产的安全状况，包括内外部资产，以及它们可能面临的风险。

威胁情报（Threat Intelligence）是关于安全威胁的上下文信息，包括有关恶意活动者、威胁行为、漏洞利用、攻击方法、目标选择和其他与安全威胁相关的细节。这些信息用于识别、评估和对抗安全威胁，保护组织的关键资产和业务运营。

Webshell 是一种恶意脚本或程序，攻击者通过将其上传到 web 服务器上，以此来获得对服务器的远程控制。Webshell 通常利用 web 应用程序的漏洞上传，它们可以是 PHP、ASP、JSP、Python 或其他服务器端脚本语言编写的脚本。

网络安全态势感知（Cybersecurity Situational Awareness）是网络安全领域内的一个重要概念，它涉及到对组织网络安全状态的全面理解，包括潜在的风险、威胁、漏洞以及安全控制措施的有效性。网络安全态势感知的目标是使组织能够实时监控、分析和响应网络安全威胁和事件，以保护关键资产和数据不受侵害。

代码审计（Code Auditing）是一种评估软件源代码质量、安全性和合规性的过程。它通常由专业的审计人员或自动化工具进行，目的是发现潜在的错误、漏洞、不规范的编码实践以及不符合特定标准或安全策略的代码。

厂商

华云安

234

0

华云安致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击面管理核心思想，推出国内首个完整的攻击者视角的安全运营一体化解决方案。

EASM，即外部攻击面管理（External Attack Surface Management），是一种网络安全实践，专注于发现和评估面向互联网的企业资产和系统，以及与之相关的安全漏洞。这些资产可能包括服务器、凭证、云服务配置错误、第三方合作伙伴的软件代码漏洞等，它们都可能成为攻击者利用的切入点

NDR，即网络检测和响应（Network Detection and Response），是一种利用人工智能、机器学习以及行为分析等非基于签名的方法来检测网络上的可疑或恶意活动的网络安全技术。NDR技术起源于网络流量分析（NTA），随着NTA解决方案增加了行为分析和威胁响应功能，Gartner在2020年将其重命名为NDR。NDR的应用场景广泛，包括威胁检测与防御、异常行为检测、漏洞管理与修复、安全事件响应以及安全分析与调查等，旨在提高网络的安全性和响应能力。

欺骗防御（Deception Technology），也称为欺骗战术或诱捕防御，是一种主动的安全防御技术，旨在通过布置虚假的或具有欺骗性的信息、系统、数据或网络资源来吸引、检测和分析攻击者的行为。这种技术利用了攻击者寻找漏洞和敏感数据的自然倾向，通过模拟这些目标来揭露未经授权的活动。

IAST，即交互式应用安全测试（Interactive Application Security Testing），是一种在应用程序运行时进行的灰盒安全测试技术。它结合了SAST（静态应用安全测试）和DAST（动态应用安全测试）的优点，通过在应用程序内部植入探针，在运行时动态地监测和报告安全漏洞。IAST技术可以实时、准确地检测软件安全漏洞，并提供详尽的漏洞信息，帮助企业提升应用安全性。

CWPP，即 Cloud Workload Protection Platform，中文为云工作负载保护平台。它是一种针对云环境（包括公有云、私有云和混合云）中的工作负载（如虚拟机、容器和无服务器功能）提供安全保护的解决方案。CWPP的目的是帮助组织在云环境中自动检测和解决威胁、漏洞和配置错误，支持与云环境交互的工作负载，并提供持续的安全监控和管理。

厂商

火绒安全

260

0

火绒安全成立于2011年9月，是一家专注、纯粹的安全公司，致力于在终端安全领域，为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等自主研发技术。