欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 谷歌称在发布“安卓O”新版本前不会修复屏幕劫持漏洞
  • 数百万台安卓智能手机都遭受一个严重的“屏幕劫持”漏洞影响,黑客能窃取用户密码、银行详情以及帮助勒索软件app窃取钱财。 谷歌声称发布“安卓O”版本前不会修复该漏洞 最糟糕的事情是,谷歌声称在发布“安卓O”版......
  • 所属分类:漏洞预警 更新时间:2017-05-11 相关标签: 阅读全文...
  • WordPress 4.6远程代码执行漏洞分析
  • WordPress 4.6 版本远程代码执行漏洞是一个非常严重的漏洞,未经授权的攻击者利用该漏洞就能实现远程代码执行,针对目标服务器实现即时访问,最终导致目标应用服务器的完全陷落。无需插件或者非标准设置,就能利用该......
  • 所属分类:漏洞预警 更新时间:2017-05-10 相关标签: 阅读全文...
  • Google发现Windows核弹级漏洞且无法修复
  • Google安全专家近日在微软Windows操作系统中发现一个未修补的漏洞,且安全风险较高。项目零研究人员TavisOrmandy和NatalieSilvanovich在本周宣布,他们在Windows中发现了他们所说的“最糟糕的”RCE,但是没有提供任何......
  • 所属分类:漏洞预警 更新时间:2017-05-09 相关标签: 阅读全文...
  • 谷歌公开“史上最严重的”Windows RCE漏洞详情
  • 谷歌Project Zero安全团队研究员Tavis Ormandy和Natalie Silvanovich声称在Windows中发现一个严重的漏洞。如在90天内该漏洞未经修复,那么他们可能会发布详情。日前,该漏洞详情已发布。 谷歌找到“史上最严重的”W......
  • 所属分类:漏洞预警 更新时间:2017-05-09 相关标签: 阅读全文...
  • 英特尔AMT功能远程提权高危漏洞分析
  • 本周早些时候,英特尔发布了一个高危提权漏洞,影响的范围包括过去7年英特尔服务器芯片的远程管理功能。远程攻击者可以利用漏洞控制存在PC、笔记本电脑和服务器。 这款漏洞编号为CVE-2017-5689,能够影响到英特尔远......
  • 所属分类:漏洞预警 更新时间:2017-05-08 相关标签: 阅读全文...
  • MS16-145:Edge浏览器TypedArray.sort UAF漏洞分析
  • 在这篇文章中,我们将为读者详细分析如何利用MS Edge浏览器中的UAF漏洞来远程执行代码。 本文将为读者深入分析影响MS Edge的CVE-2016-7288 UAF漏洞的根本原因,以及如何可靠地触发该UAF漏洞,如何用一种精确地方法来......
  • 所属分类:漏洞预警 更新时间:2017-05-08 相关标签: 阅读全文...
  • WordPress 4.6 远程代码执行漏洞分析
  • WordPress 4.6 版本远程代码执行漏洞是一个非常严重的漏洞,未经授权的攻击者利用该漏洞就能实现远程代码执行,针对目标服务器实现即时访问,最终导致目标应用服务器的完全陷落。无需插件或者非标准设置,就能利用该......
  • 所属分类:漏洞预警 更新时间:2017-05-06 相关标签: 阅读全文...
  • 详细解析PHP mail()函数漏洞利用技巧
  • 本白皮书旨在消除关于PHP mail函数在漏洞利用中的限制的一些误解,并展示利用的进一步发展。 它提供了几个关于PHP mail()函数的新的漏洞利用和绕过技术的向量,在主要的PHP e-mail发送库(PHPMailer、Zend Framewor......
  • 所属分类:漏洞预警 更新时间:2017-05-06 相关标签: 阅读全文...
  • CVE-2017-7985&7986:详细分析 Joomla!两处XSS漏洞
  • Joomla!是世界上最受欢迎的内容管理系统(CMS)解决方案之一。它可以让用户自定义构建网站实现强大的在线应用程序。据不完全统计互联网上超过3%的网站运行Joomla!,同时它占有全球9%以上的CMS市场份额。 截止至2......
  • 所属分类:漏洞预警 更新时间:2017-05-06 相关标签: 阅读全文...
  • PHPCMSv9.6.1任意文件读取漏洞的挖掘和分析过程
  • 看到网上说出了这么一个漏洞,所以抽空分析了下,得出本篇分析。 1.准备工作&漏洞关键点快速扫描 1.1前置知识 这里把本次分析中需要掌握的知识梳理了下: php原生parse_str方法,会自动进行一次urlde......
  • 所属分类:漏洞预警 更新时间:2017-05-05 相关标签: 阅读全文...
  • 内网大杀器!Metasploit移植MS17-010漏洞代码模块利用
  • 0x01 引言 2017年4月,网络最为轰动的事件无疑是TheShadowBrokers放出一大批NSA(美国国家安全局)“方程式组织” (Equation Group)使用的极具破坏力的黑客工具,其中包括可以远程攻破全球约70%Windows机器的漏洞......
  • 所属分类:漏洞预警 更新时间:2017-05-05 相关标签: 阅读全文...
  • NSA Fuzzbunch中EaseBee利用方法研究及MDaemon漏洞分析
  • 0X01 概述 EaseBee是NSA开发的针对邮件系统MDaemon代码执行漏洞的一个工具,它支持多个版本MDaemon是一款著名的标准SMTP/POP/IMAP邮件服务系统,由美国Alt-N公司开发。它提供完整的邮件服务器功能,保护用户不受垃......
  • 所属分类:漏洞预警 更新时间:2017-05-05 相关标签: 阅读全文...
  • WordPress 4.6远程代码执行漏洞
  • 关于WordPress WordPress是一个注重美学、易用性和网络标准的个人信息发布平台。WordPress虽为免费的开源软件,但其价值无法用金钱来衡量。 使用WordPress可以搭建功能强大的网络信息发布平台,但更多的是应用于个......
  • 所属分类:漏洞预警 更新时间:2017-05-05 相关标签: 阅读全文...
  • 深入分析基于异常的 iOS 漏洞利用技术
  • 本文将为读者详细介绍编号为CVE-2017-2370的mach_voucher_extract_attr_recipe_trap mach trap 堆溢出的发现和利用过程。这里不仅介绍了这个漏洞本身的情况,还讲解了漏洞利用技术的开发过程,包括如何反复故意导致系......
  • 所属分类:漏洞预警 更新时间:2017-05-04 相关标签: 阅读全文...
  • Jenkins 未授权代码执行漏洞分析
  • 一、摘要 CloudBees Jenkins 2.32.1版本中存在Java反序列化漏洞,最终可导致远程代码执行。 Jenkins是一款持续集成(continuous integration)与持续交付(continuous delivery)系统,可以提高软件研发流程中非人......
  • 所属分类:漏洞预警 更新时间:2017-05-04 相关标签: 阅读全文...
  • PHPCMS V9.6.1 任意文件读取漏洞分析
  • PHPCMS于今天(2017年5月3日)下午已发布9.6.2版本修复了该漏洞。PHPCMS V9.6.1是前段时间PHPCMS官方于4月12号推出的版本,修复了4月上旬公开的两个高危漏洞,一个前台注册接口的Getshell,另外一个是down模块的SQL注......
  • 所属分类:漏洞预警 更新时间:2017-05-04 相关标签: 阅读全文...
  • 看我如何挖到Twitter的XSS漏洞并绕过了CSP
  • 几个月前,我挖到了一个Twitter的XSS漏洞,同时绕过了站点的内容安全策略(CSP)成功执行了JavaScript代码。在本篇文章中将主要向大家分享该XSS漏洞挖掘的思路及具体细节,同时在文章中附带了PoC演示视频。 漏洞分析......
  • 所属分类:漏洞预警 更新时间:2017-05-04 相关标签: 阅读全文...
  • PWN2OWN 2017 Linux 内核提权漏洞分析
  • 0.前言 在2017年PWN2OWN大赛中,长亭安全研究实验室(Chaitin Security Research Lab)成功演示了Ubuntu 16.10 Desktop的本地提权。本次攻击主要利用了linux内核IPSEC框架(自linux2.6开始支持)中的一个内存越界......
  • 所属分类:漏洞预警 更新时间:2017-05-03 相关标签: 阅读全文...
  • WebSocket漏洞与防护详解
  • socket简介 一个socket是一次网络通信中的一个端点。socket总是分为两部分:一个IP地址和一个端口。 例如:当您访问www.myhack58.com时,你的计算机和网站的服务器正在使用socket(端点)进行通信。网站的端点将是:......
  • 所属分类:漏洞预警 更新时间:2017-05-03 相关标签: 阅读全文...
  • 在图片中加入噪点就能骗过Google最顶尖的图像识别AI
  • 近期,一群来自华盛顿大学网络安全实验室(NSL)的计算机专家发现,恶意攻击者可以欺骗Google的CloudVision API,这将导致API对用户提交的图片进行错误地分类。 近些年来,基于AI的图片分类系统变得越来越热门了,......
  • 所属分类:漏洞预警 更新时间:2017-05-01 相关标签: 阅读全文...
  • StringBleed:SNMP协议“上帝模式”漏洞影响多种网络设备
  • 近期,据来自南美的两位安全研究者发现,SNMP(简单网络管理协议)的v1和v2版本协议存在授权认证和访问控制绕过漏洞,至少有78种型号的网络接入和IoT设备受此漏洞影响,攻击者可以利用该漏洞远程获得相关设备的读写权......
  • 所属分类:漏洞预警 更新时间:2017-05-01 相关标签: 阅读全文...
  • 基于jemalloc的Android漏洞利用技巧----CENSUS
  • 背景介绍 jemalloc的相关研究 argp与huku在2012年在Phrack上发表的:对jemalloc内存分配器的单独利用(做出了基于FreeBSD上libc的POC)。 argp与huku在2012年BlackHat上发表的:在Firefo中玩坏jemalloc的元数据。 ......
  • 所属分类:漏洞预警 更新时间:2017-05-01 相关标签: 阅读全文...
  • Zabbix爆远程代码执行漏洞、数据库写入高危漏洞
  • 关于Zabbix zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在......
  • 所属分类:漏洞预警 更新时间:2017-05-01 相关标签: 阅读全文...
  • StringBleed攻击:浅析SNMP协议远程代码执行漏洞
  • 写在前面的话 在去年举办于美国拉斯维加斯的第二十四届DEFCON黑客大会上,我跟大家讨论了有关物联网设备SNMP写权限的安全问题。我们通过研究发现,警察巡逻车、救护车、以及其他用于执行关键任务的车辆其安全性都会......
  • 所属分类:漏洞预警 更新时间:2017-04-28 相关标签: 阅读全文...
  • Zabbix多个高危漏洞
  • 关于Zabbix zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在......
  • 所属分类:漏洞预警 更新时间:2017-04-28 相关标签: 阅读全文...
  • PostgreSQL管理工具pgAdmin 4中XSS漏洞的发现和利用
  • 本文我将给大家讲述我是如何发现及利用pgAdmin4桌面客户端中的XSS漏洞。在看完本文之后,请尽快升级到1.4版本。 前言 由于我一只手误触到新MacBookPro上那大得离谱的触摸板,pgAdmin 4页面不断放大缩小。这让我开始......
  • 所属分类:漏洞预警 更新时间:2017-04-27 相关标签: 阅读全文...
  • 360Vulcan:NSA武器库之Eternalromance (永恒浪漫) 漏洞分析
  • 在Shadow Brokers公开的NSA黑客武器库中,Eternalromance (永恒浪漫) 是影响Windows全平台的SMBv1漏洞攻击工具,现已被微软补丁MS17-010修复,Windows XP和2003等不在微软支持期的系统版本没有补丁,相关用户可以下......
  • 所属分类:漏洞预警 更新时间:2017-04-25 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集