欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • CVE-2016-3918:电子邮件信息泄露漏洞分析
  • 谷歌近期对外公布了2016年10月的Nexus Security Bulletin,这其中包含一个由360手机卫士阿尔法团队(Alpha Team)提交的电子邮件信息泄露漏洞(CVE-2016-3918),谷歌对此漏洞的评级为高危险等级。该漏洞可导致恶意应用......
  • 所属分类:漏洞预警 更新时间:2016-10-15 相关标签: 阅读全文...
  • PHP7.0.0格式化字符串漏洞与EIP劫持分析
  • PHP7.0.0的这个格式化字符串漏洞是15年12月在exploit-db上发现的。当初发现时,笔者还在北京东北方向的某信息安全公司上班,那时比较忙,并未能深入探究。最近几天无意间又看到了这个漏洞,发现该漏洞多了一个CVE编号......
  • 所属分类:漏洞预警 更新时间:2016-10-13 相关标签: 阅读全文...
  • 漏洞预警:基于RedHat发行的Apache Tomcat本地提权漏洞
  • 描述 Tomcat最近总想搞一些大新闻,一个月都没到,Tomcat又爆出漏洞。2016年10月11日,网上爆出Tomcat本地提权漏洞,漏洞编号为CVE-2016-5425。此次受到影响的主要是基于RedHat发行版Apache Tomcat,包括CentOS,Re......
  • 所属分类:漏洞预警 更新时间:2016-10-12 相关标签: 阅读全文...
  • 从NMDC看简单协议漏洞分析
  • 前言 协议漏洞一直是一个比较有趣的话题,比如之前二哥在乌云提交的QQ游戏客户端的伪协议漏洞,比如GeekPwn上的TCP协议栈漏洞,比如后来NSA泄露的思科SNMP的远程代码执行,都是各种不同类型的协议漏洞,其实很多著名......
  • 所属分类:漏洞预警 更新时间:2016-10-12 相关标签: 阅读全文...
  • Jndi注入及Spring RCE漏洞分析
  • 前言 由于之前一直在外出差,好久没有做研究了,十一期间重新关注了2016 BlackHat上面的议题,其中jndi注入引起了我的关注,本文主要分为以下3个部分,理解jndi、 分析jndi注入问题,以及Srping RCE漏洞形成的原因。......
  • 所属分类:漏洞预警 更新时间:2016-10-11 相关标签: 阅读全文...
  • Apache Tomcat 8/7/6 (基于RedHat发行版的)本地提权漏洞
  • I. 漏洞描述 Apache Tomcat (基于RedHat发行版)的本地提权漏洞 II. 背景介绍 Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和Java......
  • 所属分类:漏洞预警 更新时间:2016-10-11 相关标签: 阅读全文...
  • Django 安全限制绕过漏洞(CVE-2016-7401)
  • 受影响系统: Django Django < 1.8.15 Django Django 1.9.x < 1.9.10 描述: BUGTRAQ ID: 93182 CVE(CAN) ID: CVE-2016-7401 Django是Python编程语言驱动的一个开源Web应用程序框架。 Django < 1.8.15......
  • 所属分类:漏洞预警 更新时间:2016-10-10 相关标签: 阅读全文...
  • 针对某APP的漏洞挖掘(抓包+逆向=挖到大漏洞)
  • 写在前面 本人学习渗透测试(主要是Web方向)有几个月了,现在算是刚刚入门。回想起学习漏洞挖掘的过程,除了看一些经典书籍外,最想看的就是大牛们挖漏洞的详细过程,比如如何寻找目标,从哪里入手,遇到问题怎么解......
  • 所属分类:漏洞预警 更新时间:2016-10-09 相关标签: 阅读全文...
  • Wordpress <= 4.6.1 使用主题文件触发存储型XSS 漏洞分析
  • Author: p0wd3r (知道创宇404安全实验室) 0x00 漏洞概述 1.漏洞简介 WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统,近日研究者发现在其<=4.6.1版本中,通过上传恶意构造的主题文件可以......
  • 所属分类:漏洞预警 更新时间:2016-10-09 相关标签: 阅读全文...
  • 漏洞预警:JPEG 2000某漏洞可执行任意代码
  • 漏洞编号 CVE-2016-8332 TALOS-2016-0193 影响版本 OpenJpeg openjp2 2.1.1 漏洞描述 最近思科的Talos安全团队披露了JPEG 2000的一个零日漏洞,该漏洞可以执行任意代码。OpenJPEG是一个开源的JPEG 2000解码器......
  • 所属分类:漏洞预警 更新时间:2016-10-09 相关标签: 阅读全文...
  • 针对某APP的漏洞挖掘(抓包+逆向=挖到大漏洞)
  • 作者: 三思之旅 稿费:300RMB(不服你也来投稿啊!) 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 写在前面 本人学习渗透测试(主要是Web方向)有几个月了,现在算是刚刚入门。回想起学习漏洞......
  • 所属分类:漏洞预警 更新时间:2016-10-09 相关标签: 阅读全文...
  • Django CSRF Bypass 漏洞分析(CVE-2016-7401)
  • Author: p0wd3r (知道创宇404安全实验室) Date: 2016-09-28 0x00 漏洞概述 1.漏洞简介 Django 是一个由Python写成的开源Web应用框架。在两年前有研究人员在hackerone上提交了一个利用Google Analytics来绕过Djan......
  • 所属分类:漏洞预警 更新时间:2016-10-09 相关标签: 阅读全文...
  • 漏洞预警:Tomcat曝本地提权漏洞 (CVE-2016-1240 附PoC)
  • 就在各位欢度国庆的时候,Tomcat于10月1日曝出本地提权漏洞CVE-2016-1240。仅需Tomcat用户低权限,攻击者就能利用该漏洞获取到系统的ROOT权限。而且该漏洞的利用难度并不大,受影响的用户需要特别关注。 Tomcat是个......
  • 所属分类:漏洞预警 更新时间:2016-10-08 相关标签: 阅读全文...
  • 2016漏洞赏金黑客报告
  • 前言 今天,我们非常高兴能够和大家一起分享来自HackerOne的2016漏洞赏金黑客报告。目前漏洞赏金计划正在蓬勃发展,当然迅速发展的背后离不开黑客们的支持。 这些黑客报告的漏洞都是哪些公司的呢?HackerOn......
  • 所属分类:漏洞预警 更新时间:2016-10-08 相关标签: 阅读全文...
  • Dlink DWR-932B路由器被爆多个安全漏洞
  • 前言 根据安全研究专家的最新发现,Dlink DWR-932B路由器中存在大量的安全漏洞,包括后门、后门账号、弱WPS、以及远程代码执行漏洞等等。如果你对物联网安全方面感兴趣的话,可以选择拿这款路由器来练练手。 漏洞概......
  • 所属分类:漏洞预警 更新时间:2016-10-08 相关标签: 阅读全文...
  • Tomcat服务本地提权漏洞预警
  • Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和......
  • 所属分类:漏洞预警 更新时间:2016-10-08 相关标签: 阅读全文...
  • 关于QQ浏览器等应用“WormBrowser”漏洞情况的通报
  • 近日,国家信息安全漏洞库(CNNVD)收到盘古团队关于“WormBrowser”漏洞相关情况的报送,该漏洞存在于安卓版本的QQ浏览器和QQ热点两款应用中。由于上述产品在启动时,会默认开放本地端口以提供文件传输等服务,导致......
  • 所属分类:漏洞预警 更新时间:2016-10-07 相关标签: 阅读全文...
  • 你相信存在没有漏洞的代码吗?美国人正在研究
  • 万物互联时代的到来,除了为人们的生活提供了便利也带来了众多安全隐患,越来越多的设备更容易遭受黑客攻击。有没有可能诞生一种无法被入侵的代码? DARPA(美国国防部高级研究计划局)有个HACMS项目,即“高可信军......
  • 所属分类:漏洞预警 更新时间:2016-10-07 相关标签: 阅读全文...
  • kill.exe溢出漏洞分析与EXP讨论
  • 1. 前言 前几日,笔者在exploit-db上发现了一个kill.exe的溢出漏洞,在众多的UAF漏洞中,这种单纯的溢出漏洞简直如一股清泉一般,遂将其捡了出来,深入地看了看。 原计划写一个完整的可用EXP,但貌似失败了。所以,......
  • 所属分类:漏洞预警 更新时间:2016-10-07 相关标签: 阅读全文...
  • CVE-2016-4271:Flash本地文件系统沙箱绕过
  • 2016年9月13日,Adobe关闭了本地文件系统沙箱沙箱。 本地文件系统沙箱在存在了二十年之后的今天,终于被Adobe关闭,使得几乎所有的使用这一功能的Flash文件都需要更新。 我们会具体解释这一改变到底为什么这么重要......
  • 所属分类:漏洞预警 更新时间:2016-10-06 相关标签: 阅读全文...
  • 浅析思科0day漏洞CVE-2016-6415
  • 我们在昨天发表的一篇文章中简单介绍了方程式的“BENIGNCERTAIN”利用工具和漏洞CVE-2016-6415,在这篇文章中,我们将带大家了解这个漏洞到底是个什么情况。 事件概述 今年夏天,一个名为“Shadow Brokers”的黑......
  • 所属分类:漏洞预警 更新时间:2016-10-05 相关标签: 阅读全文...
  • Django CSRF Bypass (CVE-2016-7401) 漏洞分析
  • Author: p0wd3r (知道创宇404安全实验室) Date: 2016-09-28 0x00 漏洞概述 1.漏洞简介 Django是一个由Python写成的开源Web应用框架。在两年前有研究人员在hackerone上提交了一个利用Google Analytics来绕过Djan......
  • 所属分类:漏洞预警 更新时间:2016-10-05 相关标签: 阅读全文...
  • 谈一谈如何在Python开发中拒绝SSRF漏洞
  • 0x01 SSRF漏洞常见防御手法及绕过方法 SSRF是一种常见的Web漏洞,通常存在于需要请求外部内容的逻辑中,比如本地化网络图片、XML解析时的外部实体注入、软件的离线下载等。当攻击者传入一个未经验证的URL,后端代码......
  • 所属分类:漏洞预警 更新时间:2016-09-30 相关标签: 阅读全文...
  • Drupal 8 配置文件下载漏洞分析
  • Author: p0wd3r (知道创宇404安全实验室) Date: 2016-09-22 0x00 漏洞概述 1.漏洞简介 Drupal ( https://www.drupal.org )是一个自由开源的內容管理系统,近期研究者发现在其8.x < 8.1.10的版本中发现了三个安......
  • 所属分类:漏洞预警 更新时间:2016-09-30 相关标签: 阅读全文...
  • ImageMagick远程执行漏洞分析及利用
  • 1.1ImageMagick简介 1. ImageMagick简介 ImageMagick是一套功能强大、稳定而且开源的工具集和开发包,可以用来读、写和处理超过89种基本格式的图片文件,包括流行的TIFF、JPEG、GIF、 PNG、PDF以及PhotoCD等格式。......
  • 所属分类:漏洞预警 更新时间:2016-09-30 相关标签: 阅读全文...
  • Android漏洞CVE-2015-3825分析及exploit实战:从Crash到劫持PC
  • CVE-2015-3825是去年Android系统爆出的高危漏洞,与CVE-2014-7911一样都属于Android系统的反序列化漏洞。通过该漏洞可以实现Android系统提权及代码执行等一系列攻击行为,危害巨大,影响Android 4.3 到Android 5.1所......
  • 所属分类:漏洞预警 更新时间:2016-09-29 相关标签: 阅读全文...
  • Kerio Control防火墙中存在一系列严重漏洞
  • 根据国外媒体的最新报道,安全研究专家在Kerio Control防火墙中发现了一系列严重的安全漏洞。由于这些漏洞的存在,外部攻击者将可以通过欺骗企业员工去点击访问一条恶意链接来入侵企业的内部网络。 Kerio Control......
  • 所属分类:漏洞预警 更新时间:2016-09-29 相关标签: 阅读全文...
  • Cobalt Strike team服务被爆RCE漏洞,尽快升级最新版
  • 安全客点评 前段时间Metasploit刚爆出反序列化漏洞导致可远程非授权执行代码今天又爆出Cobalt Strike team服务RCE漏洞,看来安全人员在使用这些优秀的开源工具进行渗透测试的时候,也要时刻小心那双无形的手。 概......
  • 所属分类:漏洞预警 更新时间:2016-09-29 相关标签: 阅读全文...
  • iOS 10备份加密破解速度提升2500倍,Keychain将不再安全
  • 根据国外媒体的最新报道,计算机取证公司Elcomsoft的安全研究专家在iOS10的备份保护机制中发现了一个严重的安全漏洞。这个安全漏洞将允许攻击者通过一种新型的攻击方法来绕过iOS10设备本地(iTunes)备份的密码保护......
  • 所属分类:漏洞预警 更新时间:2016-09-28 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集