- 路由器漏洞复现分析第四弹:CVE-2018-7034
- TrendNET路由器权限绕过漏洞,攻击者通过设置$AUTHORIZED_GROUP >= 1绕过权限验证
漏洞参考信息:https://blogs.securiteam.com/index.php/archives/3627
受影响的路由器版本
TEW-751DR – v1.03B03
TEW-752......
- 所属分类:漏洞预警 更新时间:2018-04-24 相关标签: 阅读全文...
- 路由器漏洞复现分析第二弹:CNVD-2018-01084
- 漏洞信息 :
D-Link DIR 615/645/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞是由于service.cgi中拼接了HTTP POST请求中的数据,造成后台命令拼接,导致可执行任意命令。
一 运行环境分析
先下载......
- 所属分类:漏洞预警 更新时间:2018-04-24 相关标签: 阅读全文...
- 通过CVE-2017-17215学习路由器漏洞分析,从入坑到放弃
- 1.基本信息:
2017/11/27,Check Point 软件技术部门报告了一个华为 HG532 产品的远程命令执行漏洞(CVE-2017-17215),Mirai的升级版变种中已经使用该漏洞。看起来是个很简单的漏洞了,书上得来终觉浅,须知此事要躬......
- 所属分类:漏洞预警 更新时间:2018-04-24 相关标签: 阅读全文...
- 看我如何利用漏洞更改Google搜索排名
-
只需12美元注册购买一个域名,我就能在Google搜索结果中实现与亚马逊、沃尔玛等高价值关键词相同的广告排名。按照Google Adwords(谷歌付费广告业务)来看,类似Amazon和Walmart这样的关键词,每次点击需要付费给谷......
- 所属分类:漏洞预警 更新时间:2018-04-23 相关标签: 阅读全文...
- Linux 服务器惊现比特币勒索事件,做好四点可免遭损失
- 继 Windows 遭遇勒索病毒之后,Linux 服务器遭比特币勒索案例已出现,你以为缴纳赎金就结束了?
重要预警
近期,腾讯云安全团队监测到云上 Linux 服务器开始出现比特币勒索事件,这是首次云上发现 Linux 服务器......
- 所属分类:漏洞预警 更新时间:2018-04-17 相关标签: 阅读全文...
- 360安全浏览器修复多个Chrome内核漏洞 封堵黑客入侵之门
- 日前,新版本360浏览器率先修复了Google Chrome内核曝出的数个安全漏洞,其中超过半数的漏洞均为高危漏洞,可能被用于任意代码执行或DoS攻击。由于360浏览器采用了IE和Chrome双内核,率先修复这些内核漏洞将大大提升......
- 所属分类:漏洞预警 更新时间:2018-04-16 相关标签: 阅读全文...
- 思科产品出现严重漏洞,导致大量设备面临远程攻击风险
-
思科在其IOS软件中修补了30多个漏洞,其中包括一个严重的远程代码执行漏洞,该漏洞可以对数十万甚至数百万台设备暴露在网络上的设备发起的远程攻击。
共有三个漏洞被评为关键。其中之一是CVE-2018-0171,Embedi的......
- 所属分类:漏洞预警 更新时间:2018-04-03 相关标签: 阅读全文...
- $_SERVER[SCRIPT_NAME]变量可值注入恶意代码
- $_SERVER['SCRIPT_NAME']变量在路由传参时,可引入恶意代码,从而导致xss以及恶意代码注入。
PS:本文仅做技术讨论与分享,严禁用于任何非法用途。
$_SERVER['SCRIPT_NAME']变量是PHP中定义的变量,可用于自动获取......
- 所属分类:漏洞预警 更新时间:2018-04-03 相关标签: 阅读全文...
- 苹果Siri被曝隐私漏洞:锁屏通知直接读取
-
iOS 11中,苹果采用了一种新的方式保护用户隐私,用户通过iPhone的锁屏隐藏通知内容,直到使用Touch ID或Face ID解锁设备。
但事实上,即使无法解锁手机,还是有非常简单的办法阅读这些隐藏的通知:只需要让Siri阅......
- 所属分类:漏洞预警 更新时间:2018-03-22 相关标签: 阅读全文...
- D-Link Service.Cgi远程命令执行漏洞从发现到入侵检测
- 本文以D-link 无线路由器615/645/815路由器service.cgi远程命令执行漏洞为例,给出了智能设备命令注入类漏洞的静态分析发现漏洞的方法。根据漏洞分析进行了615/645/815路由器service.cgi远程命令的利用实验,并提取了......
- 所属分类:漏洞预警 更新时间:2018-03-16 相关标签: 阅读全文...
- 如何在JSON端点上利用CSRF漏洞
-
(CSRF + Flash + HTTP 307)=别说了,你已经“死”了!
如果你想通过第三方攻击者控制的服务器在JSON端点利用一个CSRF漏洞的话,我给大家推荐一个名叫json-flash-csrf-poc的GitHub项目【下载地址】。
背景故事
......
- 所属分类:漏洞预警 更新时间:2018-03-14 相关标签: 阅读全文...
- Nessus插件“武器化”教程
-
概述
在近期的一次内部渗透测试中,我们需要利用一个Java两级反序列化漏洞。在这篇文章中,我们将告诉大家如何改造Nessus插件,因为该插件原本只能利用一个现有的RCE漏洞,但我们将教会大家如何通过该插件来利用这......
- 所属分类:漏洞预警 更新时间:2018-03-12 相关标签: 阅读全文...
- 挖洞思路 | 账号攻击的几种常见手法
- web 安全事件中,账号,通常是呈现给攻击者的第一接触点,与账号相关的功能若存在缺陷,攻击者可以此获取关键信息和重要功能,如,登录失败的报错信息可判断出是否因账号不存在所致,可被利用枚举有效账号,比如,登......
- 所属分类:漏洞预警 更新时间:2018-03-09 相关标签: 阅读全文...
- 思科产品中存在严重硬编码密码漏洞和Java反序列化漏洞
- 近日,思科发布了 22 条安全公告,其中包括两条重要的修复方案:修复一个硬编码密码漏洞( CVE-2018-0141)和一个 Java 反序列化漏洞(CVE-2018-0147)。
硬编码密码漏洞
硬编码密码漏洞影响思科的 Prime Collab......
- 所属分类:漏洞预警 更新时间:2018-03-09 相关标签: 阅读全文...
- HELK:一款具有高级分析功能的漏洞挖掘平台
- 今天给大家介绍的是一款名叫HELK的工具,它是一款具有高级分析能力的Hunting ELK(Elasticsearch, Logstash, Kibana)。
目标
1. 给安全社区提供一个免费的漏洞Hunting平台,并共享一些基本的安全威胁以及漏洞挖......
- 所属分类:漏洞预警 更新时间:2018-03-08 相关标签: 阅读全文...
- 研究人员发现4G LTE网络协议漏洞
- 近期,四名美国大学的研究人员发现了 4G LTE 协议中的问题,利用这个漏洞可以进行虚假信息的编造,还可以监听用户和地址追踪。
在5G正在部署的当下阶段,我们也应当注意本次发现的 4G 问题:漏洞是出现在 LTE 协议......
- 所属分类:漏洞预警 更新时间:2018-03-05 相关标签: 阅读全文...
- 怎么样运用OAuth错误配置达到接管Flickr账号的目的
-
Flickr是雅虎旗下的一个图片视频分享网站,想必人人很认识。雅虎如今应用了OAuth验证情势代替以前的登岸方法。本文作者经由过程反省登岸流程发明了其中的漏洞破绽bug。
新的Flickr登岸流程
用户想要登岸Flickr.c......
- 所属分类:漏洞预警 更新时间:2017-10-18 相关标签: 阅读全文...
- KRACK:WPA2系列漏洞事件预警
- 2017年10月16日, 名为KRACK的漏洞破绽bug入侵攻击方法被表露,针对WiFi+WPA2收集的入侵攻击。
KRACK紧张是应用802.11i中4次握手中的漏洞破绽bug来终极完成解密和捏造加密的WiFi流量,该漏洞破绽bug由来自imec-Distr......
- 所属分类:漏洞预警 更新时间:2017-10-18 相关标签: 阅读全文...
- Adobe Flash被爆出漏洞 黑客可向计算机植入恶意程序
- 北京时间10月17日下午消息,Adobe公司发布警告称,有黑客正在利用该公司Flash产品的漏洞,向用户的计算机植入恶意程序。Adobe公司推荐用户尽快打好Flash的最新补丁,以避免类似事情的发生。
Abode公司表示他们已经......
- 所属分类:漏洞预警 更新时间:2017-10-18 相关标签: 阅读全文...
