欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • Joomla!存在创建账号/权限提升漏洞请及时更新
  • 漏洞描述 账号创建(Account Creation) 影响版本:3.4.4到3.6.3 报告日期:2016年10月18号 修复日期:2016年10月25号 CVE编号:CVE-2016-8870 描述:不严格的检查允许用户在网站不允许注册的时候注册账号 修......
  • 所属分类:漏洞预警 更新时间:2016-10-26 相关标签: 阅读全文...
  • CVE-2016-5195 DirtyC0w: Linux内核提权漏洞分析
  • 漏洞概要 漏洞编号:CVE-2016-5195 漏洞类型:内核竞态条件漏洞 漏洞危害:本地提权 影响范围:Linux kernel>2.6.22 (released in 2007) 这个漏洞是在10月18号被Phil Oester提交,被Linux的创始人Linus亲自修复......
  • 所属分类:漏洞预警 更新时间:2016-10-25 相关标签: 阅读全文...
  • UCloud-201610-001: 内核‘Dirty Cow’提权漏洞安全预警
  • Linux 内核近日爆发的’Dirty Cow’漏洞(CVE-2016-5195),可以导致低权限用户实现本地提权。请检查您使用内核是否在影响范围之内,并及时升级。 影响范围 Linux kernel >=2.6.22 修复方案 1.等待......
  • 所属分类:漏洞预警 更新时间:2016-10-25 相关标签: 阅读全文...
  • 富士康代工的Android手机中惊现“Pork Explosion”漏洞
  • 近期,安全研究专家JonSawyer公开表示,他在某些由富士康代工制造的Android智能手机中发现了一个后门,攻击者或可通过这个后门来root用户的Android手机。在此之前,JohnSawyer曾经为美国地方政府和执法机构提供过安全......
  • 所属分类:漏洞预警 更新时间:2016-10-24 相关标签: 阅读全文...
  • 如何破解一台智能咖啡机
  • 随着物理网的普及,其安全性尤其重要,近日有国外黑客破解一台智能咖啡机,下面就一起来看一下吧。 故事起因 最近一名意大利黑客Simone Margaritelli破解了一台智能咖啡机,Simone是一名移动安全研究员,同时......
  • 所属分类:漏洞预警 更新时间:2016-10-23 相关标签: 阅读全文...
  • CISCO Nexus系列交换机发布重要补丁更新
  • 思科近日发布了一批的补丁,主要针对的是CISCO Nexus 7000系列交换机以及带有Nexus OS的软件。 Nexus OTV(overlay transport virtualization)缓冲区溢出漏洞 根据前不久思科的安全公告,Nexus 7000和Nexus 770......
  • 所属分类:漏洞预警 更新时间:2016-10-22 相关标签: 阅读全文...
  • 漏洞预警:joomla,ja-k2-filter-and-search 组件0day 注入漏洞
  • 近日,国外安全研究员Dimitrios Roussis和 Evangelos Apostoloudis 发现joomla的ja-k2-filter-and-search组件存在SQL注入漏洞。目前,该漏洞还没有在任何国际性的网站上面被发现或发表,此外,组件开发人员也没有被告......
  • 所属分类:漏洞预警 更新时间:2016-10-21 相关标签: 阅读全文...
  • 漏洞预警:Linux内核9年高龄的“脏牛”0day漏洞
  • 这个名叫Dirty COW,也就是脏牛的漏洞,存在Linux内核中已经有长达9年的时间,也就说2007年发布的Linux内核版本中就已经存在此漏洞。Linux kernel团队已经对此进行了修复。 漏洞编号: CVE-2016-5195 漏洞名称:......
  • 所属分类:漏洞预警 更新时间:2016-10-21 相关标签: 阅读全文...
  • CVE-2016-5195脏牛漏洞:Linux内核通杀提权漏洞
  • 漏洞描述 漏洞编号:CVE-2016-5195 漏洞名称:脏牛(Dirty COW) 漏洞危害:低权限用户利用该漏洞技术可以在全版本Linux系统上实现本地提权 影响范围:Linux内核>=2.6.22(2007年发行)开始就受影响了,直到20......
  • 所属分类:漏洞预警 更新时间:2016-10-21 相关标签: 阅读全文...
  • CVE-2014-4322 qseecom内存破坏漏洞分析与利用
  • 这个漏洞存在于高通QSEECOM驱动中,这个驱动对用户层提供了一个ioctl系统调用接口,但是没有验证ioctl传入的参数中的一些基址和偏移,攻击者可以构造特殊的参数造成信息泄露和权限提升。 漏洞成因 这个漏洞的位置......
  • 所属分类:漏洞预警 更新时间:2016-10-20 相关标签: 阅读全文...
  • 从一字节溢出到任意代码执行-Linux下堆漏洞利用
  • 一个字节溢出被称为off-by-one,曾经的一段时间里,off-by-one被认为是不可以利用的,但是后来研究发现在堆上哪怕只有一个字节的溢出也会导致任意代码的执行。同时堆的off-by-one利用也出现在国内外的各类CTF竞赛中,......
  • 所属分类:漏洞预警 更新时间:2016-10-19 相关标签: 阅读全文...
  • Sofacy APT组织开发新的Flash漏洞利用框架
  • Sofacy网络间谍小组,又被称作Fancy Bear、APT28、 Sednit、 Pawn Storm,以及 Strontium。该组织开发了新型黑客工具,并且在今年夏天的攻击活动中已经投入使用。 Palo Alto 网络公司表示,该团伙将目标锁定在乌克兰......
  • 所属分类:漏洞预警 更新时间:2016-10-19 相关标签: 阅读全文...
  • CVE-2016-4977: RCE in Spring Security Oauth漏洞分析
  • 受影响的版本 Pivotal Spring Security OAuth 2.0 – 2.0.9 Pivotal Spring Security OAuth 1.0 – 1.0.5 背景 几个月前,我对一个使用Spring Security OAuth框架进行授权的Web应用程序进行了......
  • 所属分类:漏洞预警 更新时间:2016-10-19 相关标签: 阅读全文...
  • D-Link DWR-932B LTE路由器中发现多个后门
  • 如果你有一个类似于DWR-932 B LTE的D-Link路由器,别等待它缓慢的固件升级了,还是直接放弃它比较好。据称D-Link DWR-932 B LTE已有超过20处风险,包括后门账户,默认证书,泄漏的证书,固件升级时的漏洞以及不安全......
  • 所属分类:漏洞预警 更新时间:2016-10-18 相关标签: 阅读全文...
  • 利用硬件防御ROP:HA-CFI技术浅析
  • 0x00 前言 随着漏洞缓解技术的不断发展,常用的一些漏洞利用手段如ROP变得越来越困难,来自ENDGAME的Cody Pierce发表了一篇[博客],称ROP的末日已经来临,新的漏洞缓解技术将有效应对未知的漏洞威胁,并宣布他们实现......
  • 所属分类:漏洞预警 更新时间:2016-10-18 相关标签: 阅读全文...
  • 一个漏洞泄露你的邮箱的所有秘密
  • 谷歌近期对外公布了2016年10月的Nexus Security Bulletin ,这其中包含一个由360手机卫士阿尔法团队(Alpha Team)提交的电子邮件信息泄露漏洞(CVE-2016-3918 ),谷歌对此漏洞的评级为高危险等级。该漏洞可导致恶意应......
  • 所属分类:漏洞预警 更新时间:2016-10-17 相关标签: 阅读全文...
  • 国外黑客发现的海康威视远程系统XXE漏洞分析
  • 物联网发展和安全威胁总是如影随形。两个月前,我想研究一下网络摄像机,然后就在亚马逊上购买了一个比较便宜的,由海康威视代工生产的Elisa Live 720p HD IP Camera。当我在破解Elisa摄像机尝试获取密码信息的过程中......
  • 所属分类:漏洞预警 更新时间:2016-10-17 相关标签: 阅读全文...
  • 从补丁对比到PoC复现之MS16-030
  • MS16-030漏洞 MS16-030漏洞是Windows OLE的远程代码执行漏洞,由于OLE没有正确的验证用户输入,导致通过构造特殊的文件或者程序可以触发此漏洞,导致用户点击后远程执行任意代码。 关于漏洞补丁信息: https://su......
  • 所属分类:漏洞预警 更新时间:2016-10-17 相关标签: 阅读全文...
  • WordPress <= 4.6.1 使用主题文件触发存储型XSS 漏洞分析
  • Author: p0wd3r (知道创宇404安全实验室) Date: 2016-10-08 0x00 漏洞概述 1.漏洞简介 WordPress 是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统,近日研究者发现在其<=4.6.1版本中,通过上传恶意......
  • 所属分类:漏洞预警 更新时间:2016-10-16 相关标签: 阅读全文...
  • Chrome浏览器地址栏欺骗漏洞(CVE-2016-1707)
  • Chrome浏览器地址栏欺骗漏洞(CVE-2016-1707),这个漏洞笔者于2016年6月报告给Google,现在把漏洞细节分享给大家。URL Spoofing漏洞可以伪造一个合法的网站地址。攻击者可以利用这个漏洞对用户发起网络钓鱼攻击。 ......
  • 所属分类:漏洞预警 更新时间:2016-10-16 相关标签: 阅读全文...
  • 12年前的SSH漏洞还能用?物联网设备的安全令人堪忧
  • 概述 根据国外媒体的最新报道,Akamai公司的安全研究专家在这周发现了一种新型的攻击方式。根据安全专家的描述,攻击者可以使用一个存在了十二年之久的SSH漏洞,并配合一些安全性较弱的证书来攻击物联网设备和智能......
  • 所属分类:漏洞预警 更新时间:2016-10-15 相关标签: 阅读全文...
  • CVE-2016-3918:电子邮件信息泄露漏洞分析
  • 谷歌近期对外公布了2016年10月的Nexus Security Bulletin,这其中包含一个由360手机卫士阿尔法团队(Alpha Team)提交的电子邮件信息泄露漏洞(CVE-2016-3918),谷歌对此漏洞的评级为高危险等级。该漏洞可导致恶意应用......
  • 所属分类:漏洞预警 更新时间:2016-10-15 相关标签: 阅读全文...
  • PHP7.0.0格式化字符串漏洞与EIP劫持分析
  • PHP7.0.0的这个格式化字符串漏洞是15年12月在exploit-db上发现的。当初发现时,笔者还在北京东北方向的某信息安全公司上班,那时比较忙,并未能深入探究。最近几天无意间又看到了这个漏洞,发现该漏洞多了一个CVE编号......
  • 所属分类:漏洞预警 更新时间:2016-10-13 相关标签: 阅读全文...
  • 漏洞预警:基于RedHat发行的Apache Tomcat本地提权漏洞
  • 描述 Tomcat最近总想搞一些大新闻,一个月都没到,Tomcat又爆出漏洞。2016年10月11日,网上爆出Tomcat本地提权漏洞,漏洞编号为CVE-2016-5425。此次受到影响的主要是基于RedHat发行版Apache Tomcat,包括CentOS,Re......
  • 所属分类:漏洞预警 更新时间:2016-10-12 相关标签: 阅读全文...
  • 从NMDC看简单协议漏洞分析
  • 前言 协议漏洞一直是一个比较有趣的话题,比如之前二哥在乌云提交的QQ游戏客户端的伪协议漏洞,比如GeekPwn上的TCP协议栈漏洞,比如后来NSA泄露的思科SNMP的远程代码执行,都是各种不同类型的协议漏洞,其实很多著名......
  • 所属分类:漏洞预警 更新时间:2016-10-12 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集