欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 搞事的NTP----CVE-2016-7434漏洞分析
  • 前言 最近这一段时间,NTP又搞事情了,很多安全媒体也进行了报道,很多NTP漏洞都很有意思,NTP是一个网络时间协议,用来同步各个计算机之间的时间,有一些DDoS就是利用NTP放大攻击来进行的。同样,这段时间连续......
  • 所属分类:漏洞预警 更新时间:2016-12-03 相关标签: 阅读全文...
  • Nginx权限提升漏洞(CVE-2016-1247) 分析
  • 0x00 漏洞概述 1.漏洞简介 11月15日,国外安全研究员 Dawid Golunski 公开了一个新的Nginx漏洞(CVE-2016-1247),能够影响基于 Debian 系列的发行版,Nginx 作为目前主流的一个多用途服务器,因而其危害还是比较......
  • 所属分类:漏洞预警 更新时间:2016-12-03 相关标签: 阅读全文...
  • joomla创建普通用户漏洞分析(cve-2016-8870)
  • 实验环境要求 Joomla版本 3.44到3.63 漏洞分析 在joomla中存在两个用户注册的方法: 在components/com_users/controllers/registration.php中的UsersControllerRegistration::register() 在components/co......
  • 所属分类:漏洞预警 更新时间:2016-12-01 相关标签: 阅读全文...
  • joomla创建特权用户漏洞分析(cve-2016-8869)
  • 漏洞环境 Joomla版本 3.44到3.63 漏洞说明 这个漏洞和CVE-2016-8869是姊妹篇的漏洞,但是这个漏洞比8869这个漏洞的思路更加巧妙,更有意思。这个漏洞本质也是与8869的这个漏洞差不多,都是出现在用户登陆注册的......
  • 所属分类:漏洞预警 更新时间:2016-12-01 相关标签: 阅读全文...
  • React 应用中最常见的 XSS 漏洞以及防御手段
  • 笔者一直是坚定地React技术栈的使用者,因此也会关注React应用安全相关的话题。笔者在我自己的React+Redux+Webpack2脚手架的第三层级也使用了大量的服务端渲染/同构直出的技术,而本文即是阐述该方法可能存在的某个......
  • 所属分类:漏洞预警 更新时间:2016-12-01 相关标签: 阅读全文...
  • 深入浅出Android应用服务端安全漏洞之越权漏洞
  • 上周蒲公英为大家介绍了Android应用服务端中的SQL注入漏洞与文件上传漏洞: 深入浅出Android应用服务端安全漏洞之SQL注入漏洞与文件上传漏洞 本周将会继续为大家带来服务端的漏洞,本次介绍的有:越权漏洞、XSS漏......
  • 所属分类:漏洞预警 更新时间:2016-12-01 相关标签: 阅读全文...
  • Three roads lead to Rome
  • 在过去的两年里一直关注于浏览器方面的研究,主要以Fuzz为主,fuzzing在用户态的漏洞挖掘中,无论是漏洞质量还是CVE产出一直效果不错。直到一些大玩家的介入,以及大量的fuzzer在互联网公开,寻找bug需要更苛刻的思路......
  • 所属分类:漏洞预警 更新时间:2016-11-30 相关标签: 阅读全文...
  • 路由器高危漏洞致德国电信超90万用户遭遇网络中断
  • 事件概述 上周末数百万德国网民遭遇一系列的网络中断,究其原因是一次失败的家用路由器劫持。德国电信(Deutsche Telekom)的2000万用户中有90万用户收到本次网络中断影响,从上周日一直持续到本周一。本周一德国......
  • 所属分类:漏洞预警 更新时间:2016-11-29 相关标签: 阅读全文...
  • iPhone 播放视频自动关机“奇葩”漏洞成因分析
  • 一、说明 23号早上主要的网络媒体都发了一条新闻[iOS又曝新漏洞,播放特定视频导致自动关机(含演示视频))],主要内容是:苹果iOS设备又被爆出新漏洞,播放一段特定的MP4视频,将导致设备重启。我们团队在第一时间......
  • 所属分类:漏洞预警 更新时间:2016-11-29 相关标签: 阅读全文...
  • Linux 应用权限不当可提权系列漏洞分析
  • 前言 linux以强大的文件管理系统著称,在实际使用中,虽然能为工作提供极大便利,然而如果权限处理不当,可能会造成一定的安全风险,如在操作文件时,会改变某些文件夹的权限,当利用一些可以随意穿越的符号链接时......
  • 所属分类:漏洞预警 更新时间:2016-11-29 相关标签: 阅读全文...
  • “优雅”的Linux漏洞:用罕见方式绕过ASLR和DEP保护机制
  • 最近国外研究人员公布的一段exp代码能够在打完补丁的Fedora等Linux系统上进行drive-by攻击,从而安装键盘记录器、后门和其他恶意软件。 这次的exp针对的是GStreamer框架中的一个内存损坏漏洞,GStreamer是个开源多......
  • 所属分类:漏洞预警 更新时间:2016-11-28 相关标签: 阅读全文...
  • 关于Jenkins CLI漏洞情况的通报
  • 近日,国家信息安全漏洞库(CNNVD)收到关于Jenkins CLI存在远程代码执行漏洞(CNNVD-201611-384)的情况报送。该漏洞源于Jenkins CLI存在Java反序列化问题,从而导致远程攻击者可在Jenkins上执行任意代码,进一步控制......
  • 所属分类:漏洞预警 更新时间:2016-11-27 相关标签: 阅读全文...
  • NTP漏洞可致Windows系统触发DoS
  • 研究人员发布了针对cve-2016-9311漏洞的PoC,这个漏洞能够导致NTP守护进程崩溃,并且触发Windows系统拒绝服务。 NTP协议能被黑客利用。NTP是一种广泛用于时钟同步的协议,这种协议能够在多个系统同步时间。 之前......
  • 所属分类:漏洞预警 更新时间:2016-11-27 相关标签: 阅读全文...
  • AndroidNative层文件解析漏洞挖掘指南
  • 本文以手Q的一次文件解析类漏洞挖掘为例,叙述了Android Native层文件解析类型漏洞挖掘的过程 手Q这个应用从功能来说十分的庞大,如果使用类似MFFA的框架去挖掘文件解析类漏洞,效率低,而且文件入口在哪儿、如何利......
  • 所属分类:漏洞预警 更新时间:2016-11-26 相关标签: 阅读全文...
  • 溢出利用FILE结构体
  • 最近的上海大学生网络安全赛就只出了一题pwn450,对于还不是很会的我,瞬间懵逼,不过大佬还是大佬,最后还是挺多大佬做出来了,不过反正我没做出来,最后看题解,用到了两个点,一个是堆溢出,另一个就是利用这个FI......
  • 所属分类:漏洞预警 更新时间:2016-11-26 相关标签: 阅读全文...
  • 通过WordPress的自动更新功能一次性入侵互联网27%的网站
  • 近期,我们仍然在不断努力地寻找WordPress社区中第三方插件和主题中存在的安全漏洞。在研究过程中,我们还对WordPress内核以及相关的wordpress.org系统进行了检测。在今年年初,我们发现了一个严重的安全漏洞,这个漏......
  • 所属分类:漏洞预警 更新时间:2016-11-26 相关标签: 阅读全文...
  • 一个针对TP-Link调试协议(TDDP)漏洞挖掘的故事
  • 我写这篇文章原本是为了简化WiFi渗透测试研究工作。我们想使用去年由Core Security发布的WIWO,它可以在计算机网络接口和WiFi路由器之间建立一个透明的通道。 研究的第一步,就是选取一个合适的工具, 在此研究中,......
  • 所属分类:漏洞预警 更新时间:2016-11-26 相关标签: 阅读全文...
  • Fuzzing Android:挖掘Android系统组件组件中的漏洞
  • 全文概述 本文重点介绍一种可用于发现Android系统组件中不同类型的漏洞的fuzzing方法。 本文将介绍一种通用的漏洞挖掘方法以及他是怎么样应用在Android平台的。 以下是一个已经被发现漏洞的系统组件列表: Stagefri......
  • 所属分类:漏洞预警 更新时间:2016-11-24 相关标签: 阅读全文...
  • 利用SQLite数据库文件实现任意代码执行
  • 前言 近期,我们对贝尔金WeMo智能家居设备的安全性进行了分析。在研究过程中,我们开发出了一种新型的SQL注入技术,这项技术针对的是SQLite数据库。实验表明,我们可以利用这项SQLite注入技术在SQLite数据库中实现......
  • 所属分类:漏洞预警 更新时间:2016-11-23 相关标签: 阅读全文...
  • iOS又曝新漏洞,播放特定视频导致自动关机
  • 继iPhone的关机门事件后,苹果iOS设备又被爆出存在新的漏洞。有用户发现,如果通过iOS设备在Safari浏览器中播放一段特定的MP4视频,则将导致设备运行速度变慢,并最终会造成设备的自动关机。 据了解,一位名叫Eve......
  • 所属分类:漏洞预警 更新时间:2016-11-23 相关标签: 阅读全文...
  • Ubuntu系统中居然存在任天堂红白游戏机的漏洞
  • 最近安全研究人员Evans在Ubuntu系统中发现了一个很有意思的漏洞,这个漏洞还跟任天堂当年的8位游戏机(NES,或者叫FC)有关。Evans表示,在Ubuntu 12.04.5版本的多媒体框架中存在一个漏洞,该漏洞可以被红白机播放的......
  • 所属分类:漏洞预警 更新时间:2016-11-22 相关标签: 阅读全文...
  • 使用反序列化漏洞干掉你的JMS
  • 介绍 Java反序列化漏洞大家应该都非常熟悉了,想必大家手里都有各种各样的利用这类漏洞的工具。其被称为是2015年被低估的“破坏之王”可见其影响之大。Java反序列化漏洞的成因和PHP反序列化漏洞的成因差不多,都是由......
  • 所属分类:漏洞预警 更新时间:2016-11-22 相关标签: 阅读全文...
  • 绕过密码就能访问iPhone照片或消息 连iOS 10也受影响
  • 设置iPhone的锁屏密码是防止他人访问你个人数据的首选方法,而且锁屏密码也是你手机安全的第一道防线,这一点对于Android也同样是如此。 但是你知道吗?最近几个大版本的iOS锁屏保护机制存在安全漏洞,心怀不轨的人......
  • 所属分类:漏洞预警 更新时间:2016-11-19 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集