欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • CVE-2019-11815:Linux Kernel RCE漏洞
  • CVE-2019-11815 研究人员在Linux kernel中发现一个竞争条件漏洞,该漏洞会导致UAF,致使系统受到远程攻击,受影响的是kernel版本小于5.0.8的所有Linux发行版。 攻击者可以利用Linux kernel的net/rds/tcp.c中的rd......
  • 所属分类:漏洞公告 更新时间:2019-05-15 相关标签: 阅读全文...
  • CVE-2019-5018:Sqlite3 远程代码执行漏洞
  • 研究人员发现在Sqlite3 3.26.0的Windows函数功能中存在UAF漏洞。通过特殊伪造的SQL命令可以产生该UAF漏洞,导致远程代码执行。攻击者可以发送恶意SQL命令来触发该漏洞。 研究人员在SQLite 3.26.0和3.27.0版本上进行......
  • 所属分类:漏洞公告 更新时间:2019-05-14 相关标签: 阅读全文...
  • 恶意软件也有漏洞,Mirai C2崩溃分析
  • 与其他代码一样,恶意软件也会存在漏洞。事实上,大多数恶意软件并不会进行质量控制,所以存在漏洞的概率更大。本文介绍Mirai代码中的一个小bug,该漏洞存在于多个变种中。其他攻击者可以利用该漏洞来破坏C2服务器。......
  • 所属分类:漏洞公告 更新时间:2019-05-12 相关标签: 阅读全文...
  • PDF漏洞(CVE-2018-12794)浅析
  • 漏洞简介 CVE-2018-12794属于类型混淆漏洞,产生漏洞原因是通过构建XML数据包(XML Data Package,XDP)模版,并对XML表单体系结构(XML Forms Architecture,XFA)对象执行某些JavaScript操作,攻击者就可以强制......
  • 所属分类:漏洞公告 更新时间:2019-05-09 相关标签: 阅读全文...
  • ISPsystem漏洞分析
  • ISPsystem panel是一款管理web服务器、VPS和计费软件的含有友好接口的知名软件。全球上百家托管服务提供商都在使用ISPsystem软件产品,包括1Cloud, King Servers, Ru-Center。ISPsystem的安装量超过1万。 图1: IS......
  • 所属分类:漏洞公告 更新时间:2019-05-07 相关标签: 阅读全文...
  • 从V8角度分析Spectre漏洞
  • 2018年1月3日,Google Project Zero(GPZ)团队安全研究员Jann Horn在其团队博客中爆出CPU芯片的两组漏洞,分别是Meltdown与Spectre。 它们之所以广受重视,是因为它们根据的是体系结构的设计漏洞,而非针对某个系统......
  • 所属分类:漏洞公告 更新时间:2019-05-07 相关标签: 阅读全文...
  • CVE-2019-3719: Dell SupportAssist远程代码执行漏洞
  • Dell SupportAssist是一款检查相同软硬件健康的软件,预装在大多数新Dell设备中。研究人员发现dell笔记本电脑安装的第三方软件Dell SupportAssist中存在远程代码执行漏洞。 去年9月,研究人员购买了一台Dell G3 15笔......
  • 所属分类:漏洞公告 更新时间:2019-05-06 相关标签: 阅读全文...
  • WebLogic CVE-2019-2647、CVE-2019-2648、CVE-2019-2649、CVE-2019-265...
  • @xxlegend在《Weblogic CVE-2019-2647等相关XXE漏洞分析》分析了其中的一个XXE漏洞点,并给出了PoC。刚入手java不久,本着学习的目的,自己尝试分析了其他几个点的XXE并构造了PoC。下面的分析我尽量描述自己思考以及......
  • 所属分类:漏洞公告 更新时间:2019-05-06 相关标签: 阅读全文...
  • Apache HTTP组件提权漏洞利用过程深度分析
  • 前段时间Apache HTTP 被发现存在本地提权漏洞(CVE-2019-0211),漏洞作者在第一时间就给出了漏洞WriteUp[1]和EXP[2],阿尔法实验室也对EXP进行了深入分析,在此将分析的笔记整理分享出来,希望对大家理解该漏洞有所......
  • 所属分类:漏洞公告 更新时间:2019-05-06 相关标签: 阅读全文...
  • 允许攻击者访问视频流:D-Link摄像头漏洞分析
  • 对于许多人来说,都希望通过安装“智能”摄像头,来提高家庭或办公室的安全性。一旦这些设备直接连接到互联网,只需点击几下,用户就可以轻松查看他们的监控视频流。然而,如果摄像头受到安全漏洞的影响,那么这种“......
  • 所属分类:漏洞公告 更新时间:2019-05-05 相关标签: 阅读全文...
  • WebLogic 多个CVE XXE漏洞分析
  • Oracle发布了4月份的补丁,详情见链接(https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html#AppendixFMW) @xxlegend在《Weblogic CVE-2019-2647等相关XXE漏洞分析》分析了其中的一个XXE......
  • 所属分类:漏洞公告 更新时间:2019-04-30 相关标签: 阅读全文...
  • 商用硬件Token设备软件实现中的Envelope漏洞分析
  • 我最近正在研究一个使用加密Token(USB加密狗)的不知名Windows软件,其中可执行文件本身经过某种形式的预处理,并被封装和加密,以阻止在没有加密狗的情况下使用。目前,该软件不再适用于Windows 10(可能是由于Envelo......
  • 所属分类:漏洞公告 更新时间:2019-04-29 相关标签: 阅读全文...
  • jQuery CVE-2019-11358原型污染漏洞分析和修复建议
  • 一、安全通告 jQuery官方于日前发布安全预警通告,通报了漏洞编号为 CVE-2019-11358的原型污染漏洞。由攻击者控制的属性可被注入对象,之后或经由触发 JavaScript 异常引发拒绝服务,或篡改该应用程序源代码从而强制......
  • 所属分类:漏洞公告 更新时间:2019-04-28 相关标签: 阅读全文...
  • 来自P2P协议的异形攻击漏洞
  • 当我们谈论区块链时,总是离不开这些技术:分布式存储、P2P网络和共识机制,本次我们要谈的问题就是出现在P2P对等网络协议上。 异形攻击实际上是一个所有公链都可能面临的问题,我们用以太坊为例子说明。以太坊的......
  • 所属分类:漏洞公告 更新时间:2019-04-26 相关标签: 阅读全文...
  • 利用CSRF漏洞劫持Youtube用户的通知消息
  • 大家好,今天分享的writeup是关于YouTube通知服务(Notification)的CSRF漏洞,作者利用该漏洞可以劫持其他YouTube用户(受害者)的通知服务,能以受害者用户身份接收到其订阅频道或视频的最新通知,漏洞最终获得G......
  • 所属分类:漏洞公告 更新时间:2019-04-26 相关标签: 阅读全文...
  • CVE-2019-0232:Apache Tomcat RCE漏洞
  • Apache Tomcat是在Apache Software Foundation (ASF)支持下开发的开源Java Servlet容器,实现了多个Java EE规范,包括Java Servlet, JavaServer Pages (JSP), Java Expression Language (EL), WebSocket,提供一个Ja......
  • 所属分类:漏洞公告 更新时间:2019-04-26 相关标签: 阅读全文...
  • WordPress Social Warfare插件XSS和RCE漏洞分析(CVE-2019-9978)
  • 一、概述 3月21日,研究人员披露了Social Warfare中存在的两个漏洞,这是WordPress中一个非常受欢迎的插件,可以将社交网络分享按钮添加到网站或博客中。其中,一个是存储型跨站脚本攻击(XSS)漏洞,另一个是远程代......
  • 所属分类:漏洞公告 更新时间:2019-04-25 相关标签: 阅读全文...
  • IoT 0 day漏洞启示
  • 有效的恶意软件常使用已知或者未知的漏洞来完成其主要功能。本文中介绍McAfee ATR提交的一个漏洞,并介绍一款利用多个相似漏洞的恶意软件。 McAfee ATR安全研究人员2018年5月21日就向Belkin提交了Belkin WeMo Insig......
  • 所属分类:漏洞公告 更新时间:2019-04-24 相关标签: 阅读全文...
  • 攻击者是如何利用SSRF漏洞读取本地文件并滥用AWS元数据的
  • 漏洞简介 首先,我抓取并手动执行了该应用程序上的所有用户操作。之后,我通过burp检查了http历史记录中的所有的请求,坦率的说我当时想要挖掘url重定向漏洞。所以,我通过Burp搜索了url=所有可能的参数,并最终发现......
  • 所属分类:漏洞公告 更新时间:2019-04-23 相关标签: 阅读全文...
  • jQuery CVE-2019-11358 原型污染漏洞分析和修复建议
  • 1、安全通告 jQuery官方于日前发布安全预警通告,通报了漏洞编号为 CVE-2019-11358的原型污染漏洞。由攻击者控制的属性可被注入对象,之后或经由触发 JavaScript 异常引发拒绝服务,或篡改该应用程序源代码从而强制......
  • 所属分类:漏洞公告 更新时间:2019-04-23 相关标签: 阅读全文...
  • ThinkPHP 5.1框架结合RCE漏洞的深入分析
  • 在前几个月,Thinkphp连续爆发了多个严重漏洞。由于框架应用的广泛性,漏洞影响非常大。为了之后更好地防御和应对此框架漏洞,天融信阿尔法实验室对Thinkphp框架进行了详细地分析,并在此分享给大家共同学习。 本篇......
  • 所属分类:漏洞公告 更新时间:2019-04-22 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集