漏洞 »

隐藏17年的Office远程代码执行漏洞POC样本分析(CVE-2017-11882)
隐藏17年的Office远程代码执行漏洞POC样本分析(CVE-2017-11882)
2017-11-20  
2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882)。
安全报告漏洞 已有 24433 人围观 ,发现 2 个不明物体
挖洞经验 | 从PHP对象实例化到Blind XXE
挖洞经验 | 从PHP对象实例化到Blind XXE
2017-11-20  
Shopware是当前一款热门的电子商务软件,它基于PHP开发,并且还使用了类似Symfony 2、Doctrine以及Zend框架等多项技术。
WEB安全漏洞 已有 16816 人围观 ,发现 1 个不明物体
微软Office曝存在17年之久的“全版本影响”老洞,无需用户交互实现恶意程序远程植入
微软Office曝存在17年之久的“全版本影响”老洞,无需用户交互实现恶意程序远程植入
2017-11-20  
研究人员又发现了Office的另一个严重漏洞,攻击者可以利用该漏洞,无需受害者用户交互,远程向目标系统植入恶意软件。
漏洞系统安全 已有 40522 人围观 ,发现 3 个不明物体
某开源框架从注入到Getshell
某开源框架从注入到Getshell
2017-11-15  
SemCms是一套开源外贸企业网站管理系统,主要用于外贸企业,兼容IE、Firefox 等主流浏览器。SemCms使用vbscript语言编写,结合iis运行。采用国际通用utf-8编码编写。
漏洞 已有 98197 人围观 ,发现 19 个不明物体
一个利用CVE-2017-11292的APT样本技术分析(一)
一个利用CVE-2017-11292的APT样本技术分析(一)
2017-11-11  
最近沸沸扬扬的黑色绿洲(BlackOasis) APT 利用了Adobe Flash 的漏洞CVE-2017-11292。最近,我们发现除了黑色绿洲 APT 外,还有另外一个APT 攻击也利用了CVE-2017-11292这个漏洞。
漏洞 已有 135700 人围观 ,发现 4 个不明物体
Linux内核Waitid系统调用本地提权漏洞(CVE-2017-5123)的分析与利用
Linux内核Waitid系统调用本地提权漏洞(CVE-2017-5123)的分析与利用
2017-11-07  
最近在整理Linux内核漏洞利用的一些场景,比如利用系统调用漏洞、利用一些比较容易fuzz的漏洞,通过对这类场景的总结可以帮助我们快速发现0day,积累漏洞挖掘的经验。
漏洞系统安全 已有 146808 人围观 ,发现 2 个不明物体
CVE-2017-11826漏洞利用程序的分析
CVE-2017-11826漏洞利用程序的分析
2017-11-05  
СVE-2017-11826漏洞是一个非常严重的零日漏洞,攻击者可借此实施针对性攻击行动,所有版本的Microsoft Office软件都会受此漏洞影响。
漏洞 已有 179025 人围观 ,发现 2 个不明物体
对ShadowBrokers Envison Collision漏洞的利用分析
对ShadowBrokers Envison Collision漏洞的利用分析
2017-11-04  
目前我们正在对ShadowBrokers公开的利用工具以及脚本等进行了全方位的分析和分类工作,所以写一篇关于Linux下“envisioncollision”漏洞利用的简单介绍是非常值得的。
漏洞 已有 157843 人围观 ,发现 2 个不明物体
挖洞经验 | 看我如何接管OLX的每一条广告
挖洞经验 | 看我如何接管OLX的每一条广告
2017-11-02  
在这篇文章中,我将跟大家分享关于“不安全的直接对象引用”(IDOR)攻击的相关内容。没错,正如本文标题所写的那样,我在OLX所托管的网站上发现了一个IDOR漏洞,并将其披露在了HackerOne上,因此我觉得是时候写一篇W…
漏洞 已有 125855 人围观 ,发现 6 个不明物体
记一次CVE漏洞的分析(CVE-2017-12628)
记一次CVE漏洞的分析(CVE-2017-12628)
2017-11-01  
就在前几天的一个早上,我发现了一条介绍“Apache James 3.0.1 JMX服务器反序列化漏洞”的推文,这个漏洞(CVE-2017-12628)成功引起了我的注意。
漏洞 已有 195492 人围观 ,发现 2 个不明物体
正则表达式基础库源码审计与漏洞分析
正则表达式基础库源码审计与漏洞分析
2017-10-29  
正则表达式是字符串处理的基本功能,它使用单个字符串来描述、匹配一系列符合某个句法规则的字符串,绝大部分语言库都提供了正则表达式的功能
漏洞 已有 191513 人围观 ,发现 3 个不明物体
Google PDFium TIFF Image Flate解码器代码执行漏洞分析(CVE-2017-5133)
Google PDFium TIFF Image Flate解码器代码执行漏洞分析(CVE-2017-5133)
2017-10-28  
由Chrome浏览器使用的包含60.0.3112.101的Pdfium的TIFF图像解码器功能中的堆漏洞存在一个读取/写入漏洞。
漏洞 已有 205506 人围观 ,发现 6 个不明物体
Typecho反序列化漏洞导致前台getshell
Typecho反序列化漏洞导致前台getshell
2017-10-28  
最早知道这个漏洞是在一个微信群里,说是install.php文件里面有个后门,看到别人给的截图一看就知道是个PHP反序列化漏洞,赶紧上服务器看了看自己的博客,发现自己也中招了。
漏洞 已有 228389 人围观 ,发现 15 个不明物体
思科修复云服务平台重大漏洞
思科修复云服务平台重大漏洞
2017-10-24  
近日,思科修复了云服务产品线上包括云服务平台(CSP),可扩展 Firepower 操作系统(FXOS),NX-OS软件以及一些小型企业 IP 电话上的高危漏洞。
漏洞资讯 已有 127988 人围观 ,发现 1 个不明物体
分享一个近期遇到的逻辑漏洞案例
分享一个近期遇到的逻辑漏洞案例
2017-10-24  
做了一个近期遇到的逻辑漏洞思维导图,再拿几个案例跟大家分享交流一下。
WEB安全漏洞 已有 273523 人围观 ,发现 19 个不明物体
Windows DNS API RCE漏洞分析及PoC构造
Windows DNS API RCE漏洞分析及PoC构造
2017-10-23   +8
根据 Microsoft 2017 年 10 月安全通告,多个版本 Windows 中的 dnsapi.dll 在处理 DNS response 时可导致 SYSTEM 权限 RCE。
漏洞 已有 189652 人围观 ,发现 1 个不明物体

最新话题

重磅 | FreeBuf 发布黑镜调查:深渊背后的真相之「薅羊毛产业」报告

FreeBuf研究院 推荐:

本报告依据大量风控数据以及深入调查内容,通过数据分析、调查问卷等方式,解读如今让商家避之不及的“羊毛党”团伙运作流程,并揭秘依托 QQ 群发展的羊毛党真实故事。

不容错过

css.php