欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • OAuth 2.0协议使用不当导致数十亿APP账户可被远程劫持
  • 前言 香港中文大学的三位安全研究员Ronghai Yang、Wing Cheong Lau、Tianyu Liu发现了一个极其危险的安全隐患,超过10亿的移动APP(包括安卓版本和iOS版本)都可以在用户完全不知情的情况下被远程劫持。 他们三位安......
  • 所属分类:漏洞预警 更新时间:2016-11-08 相关标签: 阅读全文...
  • 谷歌又双叒叕曝光Windows的0day漏洞,微软很不开心
  • 谷歌近日再次曝光Windows 0day漏洞,称该漏洞可影响所有现行的Windows操作系统,而微软还没来得及修复。 根据谷歌团队发布的博文,该漏洞是一个本地提权漏洞,可以让攻击者逃过沙盒过滤,获得管理员权限,并执行恶......
  • 所属分类:漏洞预警 更新时间:2016-11-05 相关标签: 阅读全文...
  • 厉害了,word哥!4步轻松绕过PayPal双重验证机制
  • 双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。这种方法已经为企业所采用,主要用于增加账户的安全性,更好的保护用户的账户安全。 与其他大多......
  • 所属分类:漏洞预警 更新时间:2016-11-05 相关标签: 阅读全文...
  • MySQL现高危漏洞,可致服务器root权限被窃取
  • 上周,一位名叫Dawid Golunski的波兰黑客发现了存在于MySQL中的漏洞:一个远程root代码执行漏洞和一个权限提升漏洞。当时,Golunski只提供了第一个漏洞的poc,但是承诺之后会透露第二个漏洞(CVE-2016-6663)的更多细......
  • 所属分类:漏洞预警 更新时间:2016-11-05 相关标签: 阅读全文...
  • GitLab未授权访问漏洞可导致远程命令执行
  • GitLab是一个利用Ruby on Rails开发的开源应用程序,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。2016年11月3日,美国众测平台HackerOne公布了GitLab的目录遍历漏洞。漏洞的发现者为Job......
  • 所属分类:漏洞预警 更新时间:2016-11-05 相关标签: 阅读全文...
  • Wix.com存在未及时修复的漏洞将数百万网站置于危险之中
  • 前言 Web主机云服务提供商Wix.com存在Dom型XSS漏洞,该漏洞可以让攻击者控制在该平台上托管的任何一个网站。 Contrast Security的高级安全研究员Matt Austin表示,“只需要在Wix上创建的网站上添加单个参数,攻击者......
  • 所属分类:漏洞预警 更新时间:2016-11-05 相关标签: 阅读全文...
  • 深入解读脏牛Linux本地提权漏洞(CVE-2016-5195)
  • 0x00 概述 该漏洞是Linux的一个本地提权漏洞,发现者是Phil Oester,影响>=2.6.22的所有Linux内核版本,修复时间是2016年10月18号。该漏洞的原因是get_user_page内核函数在处理Copy-on-Write(以下使用COW表示)的过程......
  • 所属分类:漏洞预警 更新时间:2016-11-05 相关标签: 阅读全文...
  • 利用EMET漏洞来禁用EMET保护
  • Microsoft开发的增强减灾体验工具包(EMET)是一种为用户模式程序添加安全缓解措施的项目,而不是内置于操作系统中的程序。 它是作为动态链接库(DLL)在“受保护”程序中运行的,通过对代码进行各种更改,以使得漏洞......
  • 所属分类:漏洞预警 更新时间:2016-11-04 相关标签: 阅读全文...
  • MS16-124:微软内核整型溢出漏洞
  • 前言 上个月我发现并报告了一个Windows注册表整型溢出漏洞,上星期二(2016.10.25)微软发布了该漏洞的修复补丁MS16-124并对该漏洞编号CVE-2016-0070。该漏洞可以导致本地权限提升,影响到多个版本的Windows,因此微......
  • 所属分类:漏洞预警 更新时间:2016-11-04 相关标签: 阅读全文...
  • OWA和Offic365双因子认证绕过
  • 前言 全面公布:BLACK HILLS信息安全非常赞成负责任地公布漏洞。2016年9月28日我向微软报告了这个漏洞,可一直到这篇文章发布(2016.11.2)期间,微软对于此漏洞始终没有任何的反应,除了这句"目前还未有进展"。漏洞......
  • 所属分类:漏洞预警 更新时间:2016-11-04 相关标签: 阅读全文...
  • HackPwn如何利用环境感知漏洞欺骗自动驾驶汽车
  • HackPwn2016安全极客狂欢节是全球关注智能生活安全的黑客嘉年华。 首届HackPwn2015安全极客狂欢节由国际顶尖的黑客团队360VulcanTeam、 360UnicornTeam发起,在吸收国内外各安全赛事优点的基础上,重金打造的基于智......
  • 所属分类:漏洞预警 更新时间:2016-11-04 相关标签: 阅读全文...
  • 关于Joomla!内容管理系统漏洞情况的通报
  • 近日,国家信息安全漏洞库(CNNVD)收到北京白帽汇科技有限公司关于Joomla!内容管理系统存在安全绕过漏洞(CNNVD-201610-739)及远程提权漏洞(CNNVD-201610-740)的情况报送。10月25日,Joomla!官方对上述漏洞已发布升......
  • 所属分类:漏洞预警 更新时间:2016-11-03 相关标签: 阅读全文...
  • IPS Community Suite PHP远程代码执行漏洞分析
  • “IPS Community Suite “是一款在国外广泛使用的建站系统。近期被曝出在4.1.12.3版本及以下版本存在代码注入漏洞。这个漏洞通过控制content_class参数提交的请求来注入代码,以至于可以远程执行PHP代码。 IP......
  • 所属分类:漏洞预警 更新时间:2016-11-02 相关标签: 阅读全文...
  • 瑞星:敲诈病毒新变种 中毒后1054种文件全加密
  • 近日,瑞星“云安全”系统截获一种新型敲诈病毒,该病毒加密文件高达1054种,文件统一加密为.encrypted格式,进而勒索赎金1比特币(约人民币4500元)。如果用户没有在规定时间内向黑客付款,被加密的文件将永远无法恢......
  • 所属分类:漏洞预警 更新时间:2016-11-02 相关标签: 阅读全文...
  • DirtyCow Linux权限提升漏洞分析(CVE-2016-5195)
  • 0x0 概述 DirtyCow漏洞是最近爆出的Linux内核本地权限提升漏洞。该漏洞容易触发利用简单稳定,影响多个系统算是一个不错的漏洞。而且漏洞已经存在多年,正如Linus Torvalds所说 This is an ancient bug that......
  • 所属分类:漏洞预警 更新时间:2016-11-02 相关标签: 阅读全文...
  • 劫持 NodeMCU 开发板
  • 很久之前就想玩玩开发板,奈何穷,买不起。 正好学校发了一个NodeMCU,虽然是廉价板子,玩玩也不错。 这板子也让我玩了好几天,一开始是砌好小车,在老师给的一个Scratch上玩了一会,感觉略微有点弱智。这小孩子玩......
  • 所属分类:漏洞预警 更新时间:2016-11-02 相关标签: 阅读全文...
  • HackerOne第三季度TOP 5 漏洞报告
  • 前言 HackerOne第三季度TOP 5 漏洞报告即将揭晓。 在这一季中,我们参加了Vegas黑客大会,主办了Hacked the World,并在Reddit的上面讨论了一些HackerOne的问题。HackerOne的漏洞报告者从平台建立累计拿到超过$10,......
  • 所属分类:漏洞预警 更新时间:2016-11-01 相关标签: 阅读全文...
  • 谷歌电子表单CSRF+JSON劫持漏洞
  • 在2015年10月,我在在谷歌电子表单有关的API接口中发现了JSON + CSRF(跨站伪造请求)点击劫持漏洞。攻击者可以利用这个漏洞在未授权访问Google Drive文件的情况下,获取用户的电子表单信息。 漏洞影响 在网络上利......
  • 所属分类:漏洞预警 更新时间:2016-11-01 相关标签: 阅读全文...
  • InTerCyber公司在消息系统中发现了一个严重的漏洞
  • 根据国外媒体的最新报道,信息安全公司InTheCyber的安全研究专家发现了一个严重的漏洞,这个漏洞或可影响消息系统的安全性。需要注意的是,这个漏洞的利用方法并不难,攻击者可以轻易地利用这个漏洞来对用户进行攻击......
  • 所属分类:漏洞预警 更新时间:2016-10-30 相关标签: 阅读全文...
  • Linux内核通杀提权漏洞预警
  • Linux内核在处理内存写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,有可能进一步导致提权漏洞。漏洞危害:低权限......
  • 所属分类:漏洞预警 更新时间:2016-10-29 相关标签: 阅读全文...
  • 升级openssl版本修复高危漏洞——“OpenSSL红色警戒”漏洞
  • 背景: 近日OpenSSL官方发布了一个影响广泛的远程匿名拒绝服务漏洞(漏洞代号:SSL Death Alert”,漏洞编号:CVE-2016-8610) ,即“OpenSSL红色警戒”漏洞,利用该漏洞攻击者可通过多个连接重复发送大量重叠警告包......
  • 所属分类:漏洞预警 更新时间:2016-10-29 相关标签: 阅读全文...
  • Apache Tomcat 安全限制绕过漏洞(CVE-2016-6797)
  • Apache Tomcat 安全限制绕过漏洞(CVE-2016-6797) 发布日期:2016-10-27 更新日期:2016-10-28 受影响系统: Apache Group Tomcat 7.0.0-7.0.70 描述: BUGTRAQ ID: 93940 CVE(CAN) ID: CVE-2016-6797 Apac......
  • 所属分类:漏洞预警 更新时间:2016-10-29 相关标签: 阅读全文...
  • Joomla!存在未授权创建账号/权限提升漏洞请及时更新
  • 漏洞描述 账号创建(Account Creation) 影响版本:3.4.4到3.6.3 报告日期:2016年10月18号 修复日期:2016年10月25号 CVE编号:CVE-2016-8870 描述:不严格的检查允许用户在网站不允许注册的时候注册账号 ......
  • 所属分类:漏洞预警 更新时间:2016-10-27 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集