欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 关于Jenkins CLI漏洞情况的通报
  • 近日,国家信息安全漏洞库(CNNVD)收到关于Jenkins CLI存在远程代码执行漏洞(CNNVD-201611-384)的情况报送。该漏洞源于Jenkins CLI存在Java反序列化问题,从而导致远程攻击者可在Jenkins上执行任意代码,进一步控制......
  • 所属分类:漏洞预警 更新时间:2016-11-27 相关标签: 阅读全文...
  • NTP漏洞可致Windows系统触发DoS
  • 研究人员发布了针对cve-2016-9311漏洞的PoC,这个漏洞能够导致NTP守护进程崩溃,并且触发Windows系统拒绝服务。 NTP协议能被黑客利用。NTP是一种广泛用于时钟同步的协议,这种协议能够在多个系统同步时间。 之前......
  • 所属分类:漏洞预警 更新时间:2016-11-27 相关标签: 阅读全文...
  • AndroidNative层文件解析漏洞挖掘指南
  • 本文以手Q的一次文件解析类漏洞挖掘为例,叙述了Android Native层文件解析类型漏洞挖掘的过程 手Q这个应用从功能来说十分的庞大,如果使用类似MFFA的框架去挖掘文件解析类漏洞,效率低,而且文件入口在哪儿、如何利......
  • 所属分类:漏洞预警 更新时间:2016-11-26 相关标签: 阅读全文...
  • 溢出利用FILE结构体
  • 最近的上海大学生网络安全赛就只出了一题pwn450,对于还不是很会的我,瞬间懵逼,不过大佬还是大佬,最后还是挺多大佬做出来了,不过反正我没做出来,最后看题解,用到了两个点,一个是堆溢出,另一个就是利用这个FI......
  • 所属分类:漏洞预警 更新时间:2016-11-26 相关标签: 阅读全文...
  • 通过WordPress的自动更新功能一次性入侵互联网27%的网站
  • 近期,我们仍然在不断努力地寻找WordPress社区中第三方插件和主题中存在的安全漏洞。在研究过程中,我们还对WordPress内核以及相关的wordpress.org系统进行了检测。在今年年初,我们发现了一个严重的安全漏洞,这个漏......
  • 所属分类:漏洞预警 更新时间:2016-11-26 相关标签: 阅读全文...
  • 一个针对TP-Link调试协议(TDDP)漏洞挖掘的故事
  • 我写这篇文章原本是为了简化WiFi渗透测试研究工作。我们想使用去年由Core Security发布的WIWO,它可以在计算机网络接口和WiFi路由器之间建立一个透明的通道。 研究的第一步,就是选取一个合适的工具, 在此研究中,......
  • 所属分类:漏洞预警 更新时间:2016-11-26 相关标签: 阅读全文...
  • Fuzzing Android:挖掘Android系统组件组件中的漏洞
  • 全文概述 本文重点介绍一种可用于发现Android系统组件中不同类型的漏洞的fuzzing方法。 本文将介绍一种通用的漏洞挖掘方法以及他是怎么样应用在Android平台的。 以下是一个已经被发现漏洞的系统组件列表: Stagefri......
  • 所属分类:漏洞预警 更新时间:2016-11-24 相关标签: 阅读全文...
  • 利用SQLite数据库文件实现任意代码执行
  • 前言 近期,我们对贝尔金WeMo智能家居设备的安全性进行了分析。在研究过程中,我们开发出了一种新型的SQL注入技术,这项技术针对的是SQLite数据库。实验表明,我们可以利用这项SQLite注入技术在SQLite数据库中实现......
  • 所属分类:漏洞预警 更新时间:2016-11-23 相关标签: 阅读全文...
  • iOS又曝新漏洞,播放特定视频导致自动关机
  • 继iPhone的关机门事件后,苹果iOS设备又被爆出存在新的漏洞。有用户发现,如果通过iOS设备在Safari浏览器中播放一段特定的MP4视频,则将导致设备运行速度变慢,并最终会造成设备的自动关机。 据了解,一位名叫Eve......
  • 所属分类:漏洞预警 更新时间:2016-11-23 相关标签: 阅读全文...
  • Ubuntu系统中居然存在任天堂红白游戏机的漏洞
  • 最近安全研究人员Evans在Ubuntu系统中发现了一个很有意思的漏洞,这个漏洞还跟任天堂当年的8位游戏机(NES,或者叫FC)有关。Evans表示,在Ubuntu 12.04.5版本的多媒体框架中存在一个漏洞,该漏洞可以被红白机播放的......
  • 所属分类:漏洞预警 更新时间:2016-11-22 相关标签: 阅读全文...
  • 使用反序列化漏洞干掉你的JMS
  • 介绍 Java反序列化漏洞大家应该都非常熟悉了,想必大家手里都有各种各样的利用这类漏洞的工具。其被称为是2015年被低估的“破坏之王”可见其影响之大。Java反序列化漏洞的成因和PHP反序列化漏洞的成因差不多,都是由......
  • 所属分类:漏洞预警 更新时间:2016-11-22 相关标签: 阅读全文...
  • 绕过密码就能访问iPhone照片或消息 连iOS 10也受影响
  • 设置iPhone的锁屏密码是防止他人访问你个人数据的首选方法,而且锁屏密码也是你手机安全的第一道防线,这一点对于Android也同样是如此。 但是你知道吗?最近几个大版本的iOS锁屏保护机制存在安全漏洞,心怀不轨的人......
  • 所属分类:漏洞预警 更新时间:2016-11-19 相关标签: 阅读全文...
  • Linux爆新漏洞,长按回车键70秒即可获得root权限
  • 按住回车70秒,黑客就能在linux系统绕过认证,进而获取root权限,并能远程控制经过加密的linux系统。 漏洞来源 这个安全问题来源于Cryptsetup存在的一个漏洞(CVE-2016-4484)。Cryptsetup是在Linux统一密钥设置......
  • 所属分类:漏洞预警 更新时间:2016-11-17 相关标签: 阅读全文...
  • 现代化的堆相关漏洞利用技巧
  • 前言 现在的漏洞绝大部分都出在了堆这一部分,所以了解一些现在常用的漏洞利用技巧是非常必要的。 堆的概念 堆是一个用于动态分配的内存池。使用malloc()函数可以从堆中申请内存。而使用free()函数可以释放由mall......
  • 所属分类:漏洞预警 更新时间:2016-11-17 相关标签: 阅读全文...
  • PHP反序列化漏洞成因及漏洞挖掘技巧与案例
  • 一、序列化和反序列化 序列化和反序列化的目的是使得程序间传输对象会更加方便。序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串转换为对象供程序使用。在......
  • 所属分类:漏洞预警 更新时间:2016-11-16 相关标签: 阅读全文...
  • Redis 远程代码执行漏洞(CVE-2016-8339)
  • 受影响系统: Redis Redis 3.2.x < 3.2.4 描述: BUGTRAQ ID: 93283 CVE(CAN) ID: CVE-2016-8339 Redis是一个开源、支持网络、基于内存、键值对存储数据库,使用ANSI C编写。 Redis 3.2.x < 3.2.4版本存......
  • 所属分类:漏洞预警 更新时间:2016-11-16 相关标签: 阅读全文...
  • 经典内核漏洞调试笔记之二
  • 前言 上一次我发了一篇自己在一个经典内核漏洞CVE-2014-4113中挣扎的经历,以及一些调试细节的分享总结过后感觉自己收获很多,后来一个偶然的机会,我看到了百度安全实验室发的一篇文章,是关于另一个经典的内核漏洞......
  • 所属分类:漏洞预警 更新时间:2016-11-15 相关标签: 阅读全文...
  • Dlink DIR路由器HNAP登录函数的多个漏洞
  • 受影响产品的背景 智能手机,笔记本电脑,平板电脑,手机,智能电视,游戏机等设备都在同一时间进行连接。这就是为什么我们设计了新的AC3200 Ultra Wi-Fi路由器。通过Tri-Band技术,使得速度高达3.2Gbps,它提供了严......
  • 所属分类:漏洞预警 更新时间:2016-11-15 相关标签: 阅读全文...
  • 利用Python代码实现Web应用的注入
  • 漏洞概述 如果你的Web应用中存在Python代码注入漏洞的话,攻击者就可以利用你的Web应用来向你后台服务器的Python解析器发送恶意Python代码了。这也就意味着,如果你可以在目标服务器中执行Python代码的话,你就可以......
  • 所属分类:漏洞预警 更新时间:2016-11-12 相关标签: 阅读全文...
  • 教你如何利用漏洞ROOT安卓手机
  • 随着移动互联网的快速发展,智能手机、平板电脑等智能终端设备逐渐普及,慢慢的融入了我们的生活。然而与此同时智能手机安全问题也越来越凸显,手机支付漏洞、手机远程定位、手机信息泄露等问题屡见不鲜。 11月9日......
  • 所属分类:漏洞预警 更新时间:2016-11-12 相关标签: 阅读全文...
  • 简单的缓冲区溢出分析
  • 前言 本文将详细说明如何去找到一个简单的缓冲区溢出漏洞以及最终如何攻击服务获得一个反弹shell。有很多公开的漏洞可以被当做本文例子,不过我今天在exploit-db上发现PCMan’s FTP Server 2.0.7的三个缓冲区溢出漏......
  • 所属分类:漏洞预警 更新时间:2016-11-12 相关标签: 阅读全文...
  • iOS WebView自动拨号漏洞
  • 漏洞概述 安全研究专家发现,iOS的WebViews组件中存在漏洞,攻击者或可利用这个漏洞来控制目标手机进行自动拨号(号码可控制)。在这种攻击场景中,攻击者可以在短时间内屏蔽用户手机的图形操作界面(UI),并通过这......
  • 所属分类:漏洞预警 更新时间:2016-11-11 相关标签: 阅读全文...
  • Gmail帐号劫持漏洞
  • 介绍 Gmail 允许全世界各地的使用者使用多个邮箱去关联他们的Gmail,Gmail也允许一个邮箱使用多个地址,向这些邮箱发送的邮件会被汇集到同一个邮箱。说实话,这两种模式在身份确认上存在风险,为绕过认证提供了机会......
  • 所属分类:漏洞预警 更新时间:2016-11-11 相关标签: 阅读全文...
  • Chrome存bug被黑客利用:谷歌尚未修复
  • 据外媒报道,日前IT安全与保护公司Sophos对外宣布,Chrome浏览器存在一个Bug目前已经被黑客利用。更糟糕的是,谷歌两年前就已知晓这个Bug,但直到今日尚未修复。 Chrome存bug被黑客利用 Sophos表明,黑客正积极利......
  • 所属分类:漏洞预警 更新时间:2016-11-11 相关标签: 阅读全文...
  • OAuth2.0部署不当,数十亿Android App账户存泄露风险
  • 香港大学的三名安全研究人员发现,众多支持单点登录的App没有正确部署OAuth2.0认证协议,攻击者可利用此漏洞远程登陆任何用户的App账户。 Ronghai Yang、Wing Cheong Lau和Tianyu Liu调查了美国和中国最热门的600个......
  • 所属分类:漏洞预警 更新时间:2016-11-09 相关标签: 阅读全文...
  • 利用Dirty Cow实现docker逃逸
  • 前言 Dirty Cow漏洞是利用Linux内核在处理内存写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。而一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,有可能进一步导致......
  • 所属分类:漏洞预警 更新时间:2016-11-09 相关标签: 阅读全文...
  • 经典内核漏洞调试笔记
  • 前言 内核漏洞对我来说一直是一个坎,记得两年前,刚刚接触二进制漏洞的时候,当时今天的主角刚刚出现,当时调试这个漏洞的时候,整个内心都是崩溃的,最近我重温了一下这个漏洞,发现随着自己学习进步,对整个内核......
  • 所属分类:漏洞预警 更新时间:2016-11-09 相关标签: 阅读全文...
  • GNU tar解压路径绕过漏洞分析(CVE-2016-6321)
  • 0x00 摘要 GNU tar文档管理命令是linux系统下常用的一个打包、压缩的命令,CSS(FSC1V Cyber Security Services)团队的研究员Harry Sintonen发现,tar命令在解压时存在一个路径名绕过漏洞,在一些特定的场景下,利......
  • 所属分类:漏洞预警 更新时间:2016-11-08 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集