漏洞描述SpringKafka是SpringFramework生态系统中的一个模块，用于简化在Spring应用程序中集成ApacheKafka的过程，记录(record)指Kafka消息中的一条记录。受影响版本中默认未对记录配置 ErrorHandlingDeserializer，当用户将容器属性 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 设置为true(默认为false)，并且允许不受信任的源发布到Kafka主题中时，攻击者可将恶意payload注入到Kafka主题中，当反序列化记录头时远程执行任意代码。影响版本2.8.1漏洞复现

近日，事故响应与安全团队论坛（FIRST）正式发布了通用漏洞评分系统标准CVSSv4.0，这个全新版本距离上一版CVSSv3.0已经过去了八年。CVSS是评估软件安全漏洞严重性的标准化框架，可根据可利用性、可依据保密性、完整性、可用性和所需权限的影响等因素进行评分，或以低、中、高和关键几种等级定性，最终分数越高则表示漏洞越严重。这种评估方法可能够通过漏洞的影响来比较不同系统和软件的风险，有助于人们优先应对安全威胁。FIRST方面表示：这一版修订后的评估标准为消费者提供了更加精细的基础指标，消除了之前模糊的下游评分，简化了威胁指标，并提高了评估特定环境安全要求和补偿控制的有效性。此外，新版标准还

BleepingComputer网站披露，黑客正在利用"CitrixBleed"漏洞（被追踪为CVE-2023-4966）攻击美洲、欧洲、非洲和亚太地区的政府机构、技术和法律组织。Mandiant研究人员表示，自2023年8月下旬以来，有四项网络攻击活动持续针对易受攻击的CitrixNetScalerADC和Gateway设备。CitrixBleed漏洞2023年10月10日，安全研究人员发现并披露CitrixBleedCVE-2023-4966漏洞。该漏洞主要影响CitrixNetScalerADC和NetScalerGateway，允许未经授权的网络攻击者访问设备上的敏感信息。漏洞修复程序

铁子们，分享一个开源组件安全检索免费工具，需要的自取～输入组件名，一键查询可以组件版本、来源、安全状态、漏洞详情和推荐版本、修复建议这些。点这个链接注册后直接就能用：组件安全检索工具 一键查询第三方组件版本、漏洞、所属国家、所属语言、源码链接等：查看漏洞详情： 查看修复建议： 查看版本推荐和使用建议：  点这个链接注册后直接就能用：组件安全检索工具

HowEffectiveAreNeuralNetworksforFixingSecurityVulnerabilities写在最前面摘要贡献发现介绍背景：漏洞修复需求和Java漏洞修复方向动机方法贡献数据集先前的数据集和Java漏洞Benchmark数据集扩展要求数据处理工作最终数据集VJBenchVJBench与Vul4J的比较大语言模型和APR技术大型语言模型CodeX[17]CodeT5[73]CodeGen[55]PLBART[8]InCoder[28]实验：对于带有注释错误行的输入关于LargeLanguageModels的微调四种基于深度学习的自动程序修复(DL-basedAPR)

最近负责的项目参与了甲方要求的代码审计，扫出来不少问题，46w+行代码扫出来81种漏洞，涉及1w+行代码，不良代码率高达2.93%，也确实反应了不少问题，这里贴出来供大家参考目录跨站脚本高危：存储型XSS高危：反射型XSS输入验证高危：路径遍历高危：基于DOM的XSS高危：重定向中危：拒绝服务：正则表达式中危：访问权限修饰符控制中危：直接绑定敏感字段低危：拒绝服务：解析Double类型数据低危：有风险的资源使用低危：数据跨越信任边界低危：文件上传代码注入中危：HTTP响应截断中危：有风险的SQL查询：MyBatis中危：公式注入中危：资源注入中危：HTTP响应截断低危：有风险的反序列化 低危：

文章目录什么是SSTISSTI类型有哪些常用类及过滤器攻击思路常用payload无过滤情况有过滤情况总结读者可参考、订阅网络安全专栏：网络安全：攻防兼备|秋说的博客什么是SSTISSTI（Server-SideTemplateInjection）是一种服务器端模板注入漏洞，它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而，如果在构建模板时未正确处理用户输入，就可能导致SSTI漏洞的产生。sql注入的成因是：当后端脚本语言进行数据库查询时，可以构造输入语句来进行拼接，从而实现恶意sql查询。SSTI与其相似，服务端将输入作为web应用模板内容

10月30日消息，安全公司兼漏洞悬赏平台HackerOne上周公布了2023年的黑客安全报告（Hacker-PoweredSecurityReport），发现有61%的白客正在利用生成式AI来开发各种黑客工具，以用来发现更多的漏洞。据悉，HackerOne在去年6月至今年9月间发起了本次调查，主要针对与该平台合作的2000名白帽，报告显示，白帽寻找漏洞的最大动机是赚钱，占了80%，但也有高达78%的原因是为了学习，另也有47%表示是为了“保护一般用户的安全”。至于白帽不提交漏洞的主要原因则包括公司回应太慢（60%）、沟通引发冲突（55%）、奖金太低（48%），以及公司外界评价太差（44%）等。

一、前言2月份的1.2亿条用户地址信息泄露再次给各大公司敲响了警钟，数据安全的重要性愈加凸显，这也更加坚定了我们推行安全测试常态化的决心。随着测试组安全测试常态化的推进，有更多的同事对逻辑漏洞产生了兴趣，本系列文章旨在揭秘逻辑漏洞的范围、原理及预防措施，逐步提升大家的安全意识。第二篇选取了广为熟知的CSRF漏洞进行介绍。二、CSRF漏洞介绍1、CSRF漏洞的定义跨站请求伪造（Cross-siterequestforgery，简称CSRF），攻击者利用受害者身份发起了HTTP请求，导致受害者在不知情的情况下进行了业务操作，如修改资料、提交订单、发布留言或评论等2、CSRF主要攻击形式①GET类型

知名网络安全公司HackerOne近日宣布，自2012年成立以来，其漏洞赏金计划已向白帽和漏洞研究人员发放了超3亿美元的奖励。HackerOne提供了一个漏洞赏金平台，将企业与白帽的安全专业知识、资产发现、持续评估和流程增强相结合，以发现和弥补数字攻击面中的漏洞。这些白帽可凭借发现的漏洞和弱点换取奖励。根据HackerOne发布的《2023年黑客力量安全报告》，有30名优秀的白帽每人获得了超100万美元的奖励，而其中最厉害的白帽奖励超过了400万美元。该公司强调，在高额奖励支付承诺的推动下，加密货币和区块链实体继续受到白帽的广泛关注。今年，加密货币公司支付的最大赏金为10.05万美元。今年该平