欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • CVE-2019-1040:Windows NTLM认证漏洞预警分析
  • 2019年6月12日,微软官方在6月的补丁日中发布了漏洞 CVE-2019-1040的安全补丁,攻击者可以利用该漏洞绕过NTLM MIC(消息完整性检查)。攻击者可以修改NTLM身份验证流程中的签名要求,完全删除签名验证,并尝试中继到......
  • 所属分类:漏洞公告 更新时间:2019-06-13 相关标签: 阅读全文...
  • 从CVE-2018-8355零基础学Chakracore漏洞利用
  • 学习v8后,对chakracore还是一无所知,恶补一波。虽然chakracore不久就会被淘汰了,但对于学习浏览器的漏洞利用而言,漏洞调试经验才是最宝贵的。本篇文章主要是从入门角度,通过调试CVE-2018-8355一步步学习chakrac......
  • 所属分类:漏洞公告 更新时间:2019-06-11 相关标签: 阅读全文...
  • Mirai变种加入8个漏洞利用,攻击iot设备
  • Palo Alto Networks Unit 42研究人员自2016年开始就一直在持续关注Mirai恶意软件。近期,研究人员发现了Mirai恶意软件的一个新变种,其中加入了8个新的漏洞利用攻击目标还是嵌入式设备。新目标的范围涵盖无线投影系统......
  • 所属分类:漏洞公告 更新时间:2019-06-11 相关标签: 阅读全文...
  • CVE-2019-9510:攻击者利用RDP 0 day漏洞可绕过锁屏
  • CMU软件工程所安全研究人员Joe Tammariello发现Windows远程桌面特征需要客户端使用Network Level Authentication (NLA,网络级认证)认证过程中存在缺陷。NLA将远程会话的认证从RDP层转移到网络层。微软建议使用NLA来......
  • 所属分类:漏洞公告 更新时间:2019-06-10 相关标签: 阅读全文...
  • ZCNCMS审计及漏洞分析
  • 因为实际目标的需要审计了一下这个古老的CMS,接下来的内容将会包括本人发现漏洞代码及漏洞的利用过程、原有漏洞的细节分析、全局防SQL注入ids绕过细节分析等。 漏洞利用 先来看一下漏洞的利用效果 后台SQL注入......
  • 所属分类:漏洞公告 更新时间:2019-06-10 相关标签: 阅读全文...
  • Exim远程命令执行漏洞分析(CVE-2019-10149)
  • 0x00 前言 在对Exim邮件服务器最新改动进行代码审计过程中,我们发现4.87到4.91版本之间的Exim存在一个远程命令执行(RCE)漏洞。这里RCE指的是远程命令执行(Remote Command Execution),而不是远程代码执行......
  • 所属分类:漏洞公告 更新时间:2019-06-10 相关标签: 阅读全文...
  • 文本编辑器VimNeovim被曝任意代码执行漏洞
  • 6月4日,名为Arminius的安全研究员在twitter曝光现Vim/Neovim的本地代码执行漏洞,并且还被披露了PoC。作为Linux的上古神器级的文本编辑器使用量还是比较大的,建议用户立刻更新最新补丁。 漏洞细节 命令行功能允......
  • 所属分类:漏洞公告 更新时间:2019-06-06 相关标签: 阅读全文...
  • 细说CVE-2010-2883从原理分析到样本构造
  • 可能是各位大佬都比较忙的缘故,在学习了网上各种前辈们的漏洞报告之后,总感觉叙述的不够详细,小白理解起来较为困难。因此秉承着前人栽树后人浇水的原则,我也想尝试写一篇个人认为较为详细的漏洞分析,但由于水平......
  • 所属分类:漏洞公告 更新时间:2019-06-06 相关标签: 阅读全文...
  • Analysis of CVE-2019-0708
  • 该作者是国外著名的恶意软件研究安全员,在漏洞爆发之初就开始投入到该漏洞的研究过程中。大概在漏洞公开一周后,他就在twitter上开始分享自己的研究成果,知道5月31号github上公开了蓝屏poc,他才在公开了自己的研究......
  • 所属分类:漏洞公告 更新时间:2019-06-05 相关标签: 阅读全文...
  • CVE-2019-12329:DuckDuckGo安卓版URL欺骗攻击
  • 开源DuckDuckGo隐私浏览器安卓版5.26.0的安装量超过500万,通过利用地址栏欺骗漏洞攻击者很容易就开源发起针对app用户的URL欺骗攻击。安全研究人员Dhiraj Mishra将该漏洞详情报告给了厂商,该漏洞CVE编号为CVE-2019-......
  • 所属分类:漏洞公告 更新时间:2019-06-03 相关标签: 阅读全文...
  • CVE-2019-0708漏洞: RDP= Really DO Patch?
  • CVE-2019-0708是RDP协议的安全漏洞,具有蠕虫功能,因此危害很大。微软快速发布了该漏洞的补丁。但研究人员认为恶意攻击者可能已经将该漏洞武器化,在不久的将来可能就会看到再野漏洞利用了。 受影响的操作系统有:......
  • 所属分类:漏洞公告 更新时间:2019-05-29 相关标签: 阅读全文...
  • CVE-2019-11815:Linux kernel漏洞
  • Linux kernel中存在漏洞是非常常见的,因为有Linux kernel有大约2600万行代码,单2018年就新添加了338万行,删除了251万行代码。代码的量和复杂性说明了其中必然存在漏洞。 2019年5月8日,漏洞数据库NVD(National ......
  • 所属分类:漏洞公告 更新时间:2019-05-28 相关标签: 阅读全文...
  • 小众CMS vaeThink v1.0.1 代码执行漏洞挖掘分析
  • 0×01 引言 本文是对一个小众CMS(vaeThink v1.0.1)进行分析、代码执行漏洞挖掘和审计过程的记录,该CMS基于ThinkPHP5开发。作为一名代码审计的入门菜鸟,也希望能够将实践和学习的过程记录和分享,以期能够与大家......
  • 所属分类:漏洞公告 更新时间:2019-05-26 相关标签: 阅读全文...
  • WordPress Slimstat插件存储型XSS漏洞
  • Slimstat 是WordPress的一个插件,目前安装量已经超过10万,该插件允许网站收集分析数据。该插件会追踪浏览器和操作系统的特定信息,并利用网页访问来优化网站分析技术。 研究人员发现Slimstat插件的管理员dashboar......
  • 所属分类:漏洞公告 更新时间:2019-05-26 相关标签: 阅读全文...
  • SandboxEscaper再暴0 day漏洞
  • 就在昨天SandboxEscaper在博客中公布了影响Windows 10计划任务管理器的本地提权漏洞。在不到24小时的时间里,他再爆出2个0 day漏洞,分别是: · 影响Windows Error Reporting服务的AngryPolarBearBug2漏洞;......
  • 所属分类:漏洞公告 更新时间:2019-05-25 相关标签: 阅读全文...
  • 揭秘“0 day漏洞”:一款强大却脆弱的武器
  • 所谓“0 day漏洞”就是尚未被供应商修复的安全漏洞,且这些漏洞可被恶意行为者滥用并转化为一款威力强大但却脆弱的攻击武器。近年来,越来越多的证据显示,各国政府正在购买和使用0 day漏洞用于军事、情报和执法目的......
  • 所属分类:漏洞公告 更新时间:2019-05-25 相关标签: 阅读全文...
  • CatFish CMS V4.8.75最新版XSS漏洞审计
  • 作为一名没入门的新手的第一篇文章,大佬轻喷,大佬轻喷,大佬轻喷!如有不对,欢迎指正。 这里用到的是最新版的CatFish CMS V4.8.75,是一款开源免费的个人博客及企业建站系统。 首先在官网下载并安装 安装完成......
  • 所属分类:漏洞公告 更新时间:2019-05-22 相关标签: 阅读全文...
  • 从Twitter的XSS漏洞构造出Twitter XSS Worm
  • 2018年年中,当时我发现了一个Twitter的存储型XSS漏洞,该漏洞位于Twitter的犄角旮旯之处,一般人很难发现。重点在于,后来我又发现,这个存储型XSS漏洞可以被进一步构造形成一个稳定的XSS worm! XSS Worm介绍 ......
  • 所属分类:漏洞公告 更新时间:2019-05-21 相关标签: 阅读全文...
  • 利用CVE-2018-1000861漏洞来传播Kerberods挖矿机
  • 研究人员发现攻击者利用2018年泄露的Jenkins (CVE-2018-1000861)漏洞来使用Kerberods释放器来传播加密货币挖矿机。 SANS专家Renato Marinho发现一个正在进行的恶意攻击活动,攻击目标是有漏洞的Apache Jenkins安装来......
  • 所属分类:漏洞公告 更新时间:2019-05-21 相关标签: 阅读全文...
  • 深入分析Windows系统DHCP漏洞(CVE-2019-0726)
  • 0x00 前言 微软发布1月份补丁时,人们发现竟然有关于DHCP客户端存在严重漏洞的信息(CVE-2019-0547)。这个漏洞CVSS评分很高,微软也没有立即发布Exploitability Index(可利用指数),因此用户难以抉择是否应......
  • 所属分类:漏洞公告 更新时间:2019-05-21 相关标签: 阅读全文...
  • CVE-2019-3568: WhatsApp 0 day漏洞分析
  • 5月14日,《金融时报》(Financial Times)报道称攻击者正利用WhatsApp的一个漏洞向受害者手机注入以色列公司NSO Group开发的先进间谍软件。WhatsApp是最流行的消息应用之一,在全世界有15亿用户。该公司的研究人员是......
  • 所属分类:漏洞公告 更新时间:2019-05-16 相关标签: 阅读全文...
  • CVE-2019-11815:Linux Kernel RCE漏洞
  • CVE-2019-11815 研究人员在Linux kernel中发现一个竞争条件漏洞,该漏洞会导致UAF,致使系统受到远程攻击,受影响的是kernel版本小于5.0.8的所有Linux发行版。 攻击者可以利用Linux kernel的net/rds/tcp.c中的rd......
  • 所属分类:漏洞公告 更新时间:2019-05-15 相关标签: 阅读全文...
  • CVE-2019-5018:Sqlite3 远程代码执行漏洞
  • 研究人员发现在Sqlite3 3.26.0的Windows函数功能中存在UAF漏洞。通过特殊伪造的SQL命令可以产生该UAF漏洞,导致远程代码执行。攻击者可以发送恶意SQL命令来触发该漏洞。 研究人员在SQLite 3.26.0和3.27.0版本上进行......
  • 所属分类:漏洞公告 更新时间:2019-05-14 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集