欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 路由器漏洞复现分析第四弹:CVE-2018-7034
  • TrendNET路由器权限绕过漏洞,攻击者通过设置$AUTHORIZED_GROUP >= 1绕过权限验证 漏洞参考信息:https://blogs.securiteam.com/index.php/archives/3627 受影响的路由器版本 TEW-751DR – v1.03B03 TEW-752......
  • 所属分类:漏洞预警 更新时间:2018-04-24 相关标签: 阅读全文...
  • 路由器漏洞复现分析第二弹:CNVD-2018-01084
  • 漏洞信息 : D-Link DIR 615/645/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞是由于service.cgi中拼接了HTTP POST请求中的数据,造成后台命令拼接,导致可执行任意命令。 一 运行环境分析 先下载......
  • 所属分类:漏洞预警 更新时间:2018-04-24 相关标签: 阅读全文...
  • 通过CVE-2017-17215学习路由器漏洞分析,从入坑到放弃
  • 1.基本信息: 2017/11/27,Check Point 软件技术部门报告了一个华为 HG532 产品的远程命令执行漏洞(CVE-2017-17215),Mirai的升级版变种中已经使用该漏洞。看起来是个很简单的漏洞了,书上得来终觉浅,须知此事要躬......
  • 所属分类:漏洞预警 更新时间:2018-04-24 相关标签: 阅读全文...
  • 看我如何利用漏洞更改Google搜索排名
  • 只需12美元注册购买一个域名,我就能在Google搜索结果中实现与亚马逊、沃尔玛等高价值关键词相同的广告排名。按照Google Adwords(谷歌付费广告业务)来看,类似Amazon和Walmart这样的关键词,每次点击需要付费给谷......
  • 所属分类:漏洞预警 更新时间:2018-04-23 相关标签: 阅读全文...
  • RSA 2018 | 通过iOS Trustjacking漏洞远程渗透iPhone
  • 赛门铁克研究人员发现了一个iPhone与Mac工作站和笔记本电脑配对的漏洞。他们表示,攻击者可以利用这个被称为Trustjacking的漏洞,在没有信息情况下接管设备。 Trustjacking漏洞源自iTunes附带的“iTunes Wi-Fi同步......
  • 所属分类:漏洞预警 更新时间:2018-04-19 相关标签: 阅读全文...
  • 新漏洞: 黑客可利用 iTunes Wi-Fi 同步功能接管你的 iPhone
  • 美国时间4月19日,据外媒报道,赛门铁克的研究人员发现了苹果生态中的一个漏洞,只要用户的 iPhone 与 Mac 工作站或笔记本配对,黑客就能利用该漏洞(Trustjacking)偷偷摸摸地“接管”用户设备。 从技术角度来看,......
  • 所属分类:漏洞预警 更新时间:2018-04-19 相关标签: 阅读全文...
  • WebLogic WLS核心组件反序列化漏洞(CVE-2018-2628)
  • 漏洞/事件概要 北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行......
  • 所属分类:漏洞预警 更新时间:2018-04-18 相关标签: 阅读全文...
  • Linux 服务器惊现比特币勒索事件,做好四点可免遭损失
  • 继 Windows 遭遇勒索病毒之后,Linux 服务器遭比特币勒索案例已出现,你以为缴纳赎金就结束了? 重要预警 近期,腾讯云安全团队监测到云上 Linux 服务器开始出现比特币勒索事件,这是首次云上发现 Linux 服务器......
  • 所属分类:漏洞预警 更新时间:2018-04-17 相关标签: 阅读全文...
  • 360安全浏览器修复多个Chrome内核漏洞 封堵黑客入侵之门
  • 日前,新版本360浏览器率先修复了Google Chrome内核曝出的数个安全漏洞,其中超过半数的漏洞均为高危漏洞,可能被用于任意代码执行或DoS攻击。由于360浏览器采用了IE和Chrome双内核,率先修复这些内核漏洞将大大提升......
  • 所属分类:漏洞预警 更新时间:2018-04-16 相关标签: 阅读全文...
  • Exim Off-by-One RCE漏洞(CVE-2018-6789)利用分析(附EXP)
  • 声明:本文公开的方法和脚本仅供学习和研究使用,任何团队和个人不得使用本文披露的相关内容从事违法网络攻击活动,否则造成的一切后果由使用者本人承担,与本文作者无关。 2018年2月,流行的开源邮件服务器Exim曝出......
  • 所属分类:漏洞预警 更新时间:2018-04-09 相关标签: 阅读全文...
  • 思科产品出现严重漏洞,导致大量设备面临远程攻击风险
  • 思科在其IOS软件中修补了30多个漏洞,其中包括一个严重的远程代码执行漏洞,该漏洞可以对数十万甚至数百万台设备暴露在网络上的设备发起的远程攻击。 共有三个漏洞被评为关键。其中之一是CVE-2018-0171,Embedi的......
  • 所属分类:漏洞预警 更新时间:2018-04-03 相关标签: 阅读全文...
  • $_SERVER[SCRIPT_NAME]变量可值注入恶意代码
  • $_SERVER['SCRIPT_NAME']变量在路由传参时,可引入恶意代码,从而导致xss以及恶意代码注入。 PS:本文仅做技术讨论与分享,严禁用于任何非法用途。 $_SERVER['SCRIPT_NAME']变量是PHP中定义的变量,可用于自动获取......
  • 所属分类:漏洞预警 更新时间:2018-04-03 相关标签: 阅读全文...
  • 看我如何构造DSPL语言包发现Google的存储型XSS和SSRF漏洞
  • 掌握数据就能统治整个世界 – 软银孙正义 本文讲述我通过精心制作Google数据集发布语言(DSPL)包,在请求www.google.com的环境中构造出存储型XSS漏洞,另外,利用DSPL的远程数据源功能实现了本地服务访问(......
  • 所属分类:漏洞预警 更新时间:2018-04-02 相关标签: 阅读全文...
  • 苹果Siri被曝隐私漏洞:锁屏通知直接读取
  • iOS 11中,苹果采用了一种新的方式保护用户隐私,用户通过iPhone的锁屏隐藏通知内容,直到使用Touch ID或Face ID解锁设备。 但事实上,即使无法解锁手机,还是有非常简单的办法阅读这些隐藏的通知:只需要让Siri阅......
  • 所属分类:漏洞预警 更新时间:2018-03-22 相关标签: 阅读全文...
  • CVE-2017-0135漏洞分析:利用Edge浏览器的XSS过滤器绕过CSP
  • 在本文中,我向大家分享一个我在去年发现的Edge浏览器的漏洞。这个漏洞利用了浏览器XSS过滤器的缺陷,来绕过另一种XSS防御措施:CSP(Content Security Policy,内容安全策略)。注意这个漏洞并不是在绕过XSS过滤器,......
  • 所属分类:漏洞预警 更新时间:2018-03-19 相关标签: 阅读全文...
  • D-Link Service.Cgi远程命令执行漏洞从发现到入侵检测
  • 本文以D-link 无线路由器615/645/815路由器service.cgi远程命令执行漏洞为例,给出了智能设备命令注入类漏洞的静态分析发现漏洞的方法。根据漏洞分析进行了615/645/815路由器service.cgi远程命令的利用实验,并提取了......
  • 所属分类:漏洞预警 更新时间:2018-03-16 相关标签: 阅读全文...
  • 如何在JSON端点上利用CSRF漏洞
  • (CSRF + Flash + HTTP 307)=别说了,你已经“死”了! 如果你想通过第三方攻击者控制的服务器在JSON端点利用一个CSRF漏洞的话,我给大家推荐一个名叫json-flash-csrf-poc的GitHub项目【下载地址】。 背景故事 ......
  • 所属分类:漏洞预警 更新时间:2018-03-14 相关标签: 阅读全文...
  • Nessus插件“武器化”教程
  • 概述 在近期的一次内部渗透测试中,我们需要利用一个Java两级反序列化漏洞。在这篇文章中,我们将告诉大家如何改造Nessus插件,因为该插件原本只能利用一个现有的RCE漏洞,但我们将教会大家如何通过该插件来利用这......
  • 所属分类:漏洞预警 更新时间:2018-03-12 相关标签: 阅读全文...
  • 挖洞思路 | 账号攻击的几种常见手法
  • web 安全事件中,账号,通常是呈现给攻击者的第一接触点,与账号相关的功能若存在缺陷,攻击者可以此获取关键信息和重要功能,如,登录失败的报错信息可判断出是否因账号不存在所致,可被利用枚举有效账号,比如,登......
  • 所属分类:漏洞预警 更新时间:2018-03-09 相关标签: 阅读全文...
  • HELK:一款具有高级分析功能的漏洞挖掘平台
  • 今天给大家介绍的是一款名叫HELK的工具,它是一款具有高级分析能力的Hunting ELK(Elasticsearch, Logstash, Kibana)。 目标 1. 给安全社区提供一个免费的漏洞Hunting平台,并共享一些基本的安全威胁以及漏洞挖......
  • 所属分类:漏洞预警 更新时间:2018-03-08 相关标签: 阅读全文...
  • 研究人员发现4G LTE网络协议漏洞
  • 近期,四名美国大学的研究人员发现了 4G LTE 协议中的问题,利用这个漏洞可以进行虚假信息的编造,还可以监听用户和地址追踪。 在5G正在部署的当下阶段,我们也应当注意本次发现的 4G 问题:漏洞是出现在 LTE 协议......
  • 所属分类:漏洞预警 更新时间:2018-03-05 相关标签: 阅读全文...
  • 怎么样运用OAuth错误配置达到接管Flickr账号的目的
  • Flickr是雅虎旗下的一个图片视频分享网站,想必人人很认识。雅虎如今应用了OAuth验证情势代替以前的登岸方法。本文作者经由过程反省登岸流程发明了其中的漏洞破绽bug。 新的Flickr登岸流程 用户想要登岸Flickr.c......
  • 所属分类:漏洞预警 更新时间:2017-10-18 相关标签: 阅读全文...
  • KRACK:WPA2系列漏洞事件预警
  • 2017年10月16日, 名为KRACK的漏洞破绽bug入侵攻击方法被表露,针对WiFi+WPA2收集的入侵攻击。 KRACK紧张是应用802.11i中4次握手中的漏洞破绽bug来终极完成解密和捏造加密的WiFi流量,该漏洞破绽bug由来自imec-Distr......
  • 所属分类:漏洞预警 更新时间:2017-10-18 相关标签: 阅读全文...
  • WPA2漏洞破绽bug原理研究与防范(WIPS产品对抗KRACK漏洞)
  • 1.媒介 最近几天,有网安研究员表露 WPA2 协定层中存在逻辑缺点,险些一切支撑Wi-Fi的装备都面对威逼,其传输的数据存在被嗅探、窜改的风险。入侵攻击者可获得WiFi网络中的数据信息,如信用卡、邮件、账号、照片等,......
  • 所属分类:漏洞预警 更新时间:2017-10-18 相关标签: 阅读全文...
  • Adobe Flash被爆出漏洞 黑客可向计算机植入恶意程序
  • 北京时间10月17日下午消息,Adobe公司发布警告称,有黑客正在利用该公司Flash产品的漏洞,向用户的计算机植入恶意程序。Adobe公司推荐用户尽快打好Flash的最新补丁,以避免类似事情的发生。  Abode公司表示他们已经......
  • 所属分类:漏洞预警 更新时间:2017-10-18 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集