欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • Pwn2Own华为HiApp漏洞原理与利用分析(上)
  • 0×01 简介 ps:本文从攻击者的角度来分析如何发现Pwn2Own华为手机漏洞,但不代表与漏洞发现者的思路相同,仅供参考。本系列漏洞分析由于涉及大量代码分析,所以拆分为四部分,也比较容易阅读和理解消化。 攻击视频......
  • 所属分类:漏洞预警 更新时间:2018-05-30 相关标签: 阅读全文...
  • ZipperDown漏洞,炒作还是一触即发
  • 一、概述 近期,ZipperDown漏洞被披露,该漏洞影响Android和iOS两大平台,其中iOS应用市场多达10%的应用存在该漏洞,且不乏多款热门应用,引发业界强烈反响。安天移动安全第一时间启动对该漏洞的应急响应,希望客......
  • 所属分类:漏洞预警 更新时间:2018-05-29 相关标签: 阅读全文...
  • 看我如何发现价值3万6千美金的谷歌RCE漏洞
  • 本文讲述了乌拉圭公立大学18岁学生 Ezequiel Pereira 发现谷歌(Google)最高级别RCE漏洞的相关过程。在今年年初,Ezequiel发现了谷歌Google App Engine (GAE)某非生产环境下的一个漏洞,利用该漏洞可以实现对谷歌......
  • 所属分类:漏洞预警 更新时间:2018-05-28 相关标签: 阅读全文...
  • 宝马多款车型被曝通用安全漏洞,可被黑客远程攻击
  • 5月22日,腾讯科恩实验室对外发布了宝马多款不同车型上的14个通用安全漏洞,这些漏洞可以通过物理接触和远程无接触等方式触发,据其官方博客透露,目前所有漏洞细节和攻击方法均已得到宝马官方确认。 重点分析汽车......
  • 所属分类:漏洞预警 更新时间:2018-05-23 相关标签: 阅读全文...
  • 英特尔再现新漏洞 或能遭黑客植入攻击脚本
  • 5月22日报道,昨日,英特尔和微软公布了一个Spectre and Meltdown安全漏洞的新变体——“变体4号”。该新变体利用的是“Speculative Store Bypass”,该缺陷能使处理器芯片向潜在的不安全区域泄露敏感信息。......
  • 所属分类:漏洞预警 更新时间:2018-05-22 相关标签: 阅读全文...
  • 罗技智能家居管理系统(Logitech Harmony Hub)漏洞分析
  • 近期,火眼公司Mandiant Red Team团队发现,罗技智能物联网家居管理系统Logitech Harmony Hub存在多个可利用漏洞,攻击者可利用这些漏洞,绕过系统限制,通过SSH方式获取到设备系统的管理权限。Logitech Harmony H......
  • 所属分类:漏洞预警 更新时间:2018-05-21 相关标签: 阅读全文...
  • DLINK DCS-5020L无线云摄像机远程代码执行漏洞分析
  • 本文主要是向大家演示,如何找到物联网(IOT)设备中的漏洞。查找以下命令注入的过程可以分为3个步骤,有点类似于100 point CTF challenge:下载二进制文件,运行字符串,跟踪系统调用到原点的输入。 DLINK DCS-502......
  • 所属分类:漏洞预警 更新时间:2018-05-18 相关标签: 阅读全文...
  • 如何利用Struts2漏洞绕过防火墙获取Root权限
  • 本文我要分享的是关于Apache struts2 CVE-2013–2251漏洞的,由于该漏洞可以导致远程代码执行,曾一度被广泛滥用。该漏洞原理在于,通过操纵前缀为“action:”/”redirect:”/”redirectAction:”的参数,在Str......
  • 所属分类:漏洞预警 更新时间:2018-05-17 相关标签: 阅读全文...
  • Office 365中的0-day漏洞baseStriker出现在野利用实例
  • 5 月 1 日,Avanan 的研究人员发现 Office 365 中出现了一个名为 baseStriker 的 0-day 漏洞。攻击者可利用这个漏洞发送恶意邮件,绕过 Office 365 的账户安全机制。 baseStriker 漏洞的代码使用了不常用的 HTML ......
  • 所属分类:漏洞预警 更新时间:2018-05-09 相关标签: 阅读全文...
  • Java反序列化漏洞的原理分析
  • 世界上有三件事最难: 把别人的钱装进自己的口袋里 把自己的想法装进别人的脑袋里 让自己的代码运行在别人的服务器上 前言 Java反序列化漏洞是近一段时间里一直被重点关注的漏洞,自从 Apache Commons-collecti......
  • 所属分类:漏洞预警 更新时间:2018-05-04 相关标签: 阅读全文...
  • 漏洞导致Windows系统崩溃,硬件专家公布PoC利用码
  • Bitdefender 公司的研究员 Marius Tivadar 在 GitHub 上发布了一段 PoC 代码,即便在计算机被锁的情况下也能在几秒内导致 Windows 计算机崩溃。 该 PoC 代码利用的是微软处理 NTFS 文件系统图像过程中存在的一个漏......
  • 所属分类:漏洞预警 更新时间:2018-05-04 相关标签: 阅读全文...
  • 看我如何发现OpenDrive云存储平台的会话机制漏洞
  • 最近在对比云存储解决方案时,我惊讶地发现很多公司仍然在提供无限量云端数据存储服务方案,像OpenDrive公司就是这样(注意别和OpenDRIVE格式规范混淆),OpenDrive公司专为个人、商业团体和公司企业提供无限存储方......
  • 所属分类:漏洞预警 更新时间:2018-05-04 相关标签: 阅读全文...
  • 海莲花APT团伙利用CVE-2017-8570漏洞的新样本及关联分析
  • 海莲花(OceanLotus)APT团伙是一个高度组织化的、专业化的境外国家级黑客组织,其最早由360天眼实验室发现并披露。该组织至少自2012年4月起便针对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展......
  • 所属分类:漏洞预警 更新时间:2018-04-26 相关标签: 阅读全文...
  • 利用密码重置功能实现账号劫持
  • 最近,我参加了某平台邀请的漏洞测试项目,在其中发现了一个独特的账号劫持漏洞,整个漏洞发现过程非常意外也非常幸运,通过密码重置功能就能实现账号劫持,在此我就把它写成 writeup 分享出来。由于测试项目的保密和......
  • 所属分类:漏洞预警 更新时间:2018-04-26 相关标签: 阅读全文...
  • 挖矿病毒通过Flash漏洞传播,小心电脑变矿机
  • 4月24日,火绒安全团队发出警报,病毒团伙利用Adobe Flash漏洞传播挖矿病毒。病毒团伙将挖矿程序植入到游戏下载站“52pk”中(www.52pk.com),当用户访问该网站,带毒页面展示后,无需任何操作,挖矿程序便会立即运......
  • 所属分类:漏洞预警 更新时间:2018-04-25 相关标签: 阅读全文...
  • SMT智能合约整型溢出漏洞
  • 漏洞概述 SmartMesh Token是基于Ethereum的合约代币,简称SMT。Ethereum是一个开源的、公共的分布式计算平台,SmartMesh代币合约SmartMeshTokenContract基于ERC20Token标准。漏洞发生在转账操作中,攻击者可以在无......
  • 所属分类:漏洞预警 更新时间:2018-04-25 相关标签: 阅读全文...
  • 路由器漏洞复现分析第四弹:CVE-2018-7034
  • TrendNET路由器权限绕过漏洞,攻击者通过设置$AUTHORIZED_GROUP >= 1绕过权限验证 漏洞参考信息:https://blogs.securiteam.com/index.php/archives/3627 受影响的路由器版本 TEW-751DR – v1.03B03 TEW-752......
  • 所属分类:漏洞预警 更新时间:2018-04-24 相关标签: 阅读全文...
  • 路由器漏洞复现分析第二弹:CNVD-2018-01084
  • 漏洞信息 : D-Link DIR 615/645/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞是由于service.cgi中拼接了HTTP POST请求中的数据,造成后台命令拼接,导致可执行任意命令。 一 运行环境分析 先下载......
  • 所属分类:漏洞预警 更新时间:2018-04-24 相关标签: 阅读全文...
  • 通过CVE-2017-17215学习路由器漏洞分析,从入坑到放弃
  • 1.基本信息: 2017/11/27,Check Point 软件技术部门报告了一个华为 HG532 产品的远程命令执行漏洞(CVE-2017-17215),Mirai的升级版变种中已经使用该漏洞。看起来是个很简单的漏洞了,书上得来终觉浅,须知此事要躬......
  • 所属分类:漏洞预警 更新时间:2018-04-24 相关标签: 阅读全文...
  • 看我如何利用漏洞更改Google搜索排名
  • 只需12美元注册购买一个域名,我就能在Google搜索结果中实现与亚马逊、沃尔玛等高价值关键词相同的广告排名。按照Google Adwords(谷歌付费广告业务)来看,类似Amazon和Walmart这样的关键词,每次点击需要付费给谷......
  • 所属分类:漏洞预警 更新时间:2018-04-23 相关标签: 阅读全文...
  • RSA 2018 | 通过iOS Trustjacking漏洞远程渗透iPhone
  • 赛门铁克研究人员发现了一个iPhone与Mac工作站和笔记本电脑配对的漏洞。他们表示,攻击者可以利用这个被称为Trustjacking的漏洞,在没有信息情况下接管设备。 Trustjacking漏洞源自iTunes附带的“iTunes Wi-Fi同步......
  • 所属分类:漏洞预警 更新时间:2018-04-19 相关标签: 阅读全文...
  • 新漏洞: 黑客可利用 iTunes Wi-Fi 同步功能接管你的 iPhone
  • 美国时间4月19日,据外媒报道,赛门铁克的研究人员发现了苹果生态中的一个漏洞,只要用户的 iPhone 与 Mac 工作站或笔记本配对,黑客就能利用该漏洞(Trustjacking)偷偷摸摸地“接管”用户设备。 从技术角度来看,......
  • 所属分类:漏洞预警 更新时间:2018-04-19 相关标签: 阅读全文...
  • WebLogic WLS核心组件反序列化漏洞(CVE-2018-2628)
  • 漏洞/事件概要 北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行......
  • 所属分类:漏洞预警 更新时间:2018-04-18 相关标签: 阅读全文...
  • Linux 服务器惊现比特币勒索事件,做好四点可免遭损失
  • 继 Windows 遭遇勒索病毒之后,Linux 服务器遭比特币勒索案例已出现,你以为缴纳赎金就结束了? 重要预警 近期,腾讯云安全团队监测到云上 Linux 服务器开始出现比特币勒索事件,这是首次云上发现 Linux 服务器......
  • 所属分类:漏洞预警 更新时间:2018-04-17 相关标签: 阅读全文...
  • 360安全浏览器修复多个Chrome内核漏洞 封堵黑客入侵之门
  • 日前,新版本360浏览器率先修复了Google Chrome内核曝出的数个安全漏洞,其中超过半数的漏洞均为高危漏洞,可能被用于任意代码执行或DoS攻击。由于360浏览器采用了IE和Chrome双内核,率先修复这些内核漏洞将大大提升......
  • 所属分类:漏洞预警 更新时间:2018-04-16 相关标签: 阅读全文...
  • Exim Off-by-One RCE漏洞(CVE-2018-6789)利用分析(附EXP)
  • 声明:本文公开的方法和脚本仅供学习和研究使用,任何团队和个人不得使用本文披露的相关内容从事违法网络攻击活动,否则造成的一切后果由使用者本人承担,与本文作者无关。 2018年2月,流行的开源邮件服务器Exim曝出......
  • 所属分类:漏洞预警 更新时间:2018-04-09 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集