漏洞 »

JRE8u20反序列化漏洞分析
JRE8u20反序列化漏洞分析
2018-07-09  
之前在第一篇文章中我们简单的讲了一下Java的序列化机制,即通过ObjectOutputStream和ObjectInputStream来实现序列化和反序列化,但是内部的机制和原理一并跳过了。
WEB安全漏洞 已有 79215 人围观 ,发现 1 个不明物体
技术讨论 | 微信支付SDK 0元购Hack思路分享
技术讨论 | 微信支付SDK 0元购Hack思路分享
2018-07-09  
之前有网友分享了微信支付SDK的XXE漏洞,语言版本为JAVA,有很多朋友问我0元购的hack思路,我查阅了一下微信支付的官方文档,配合简单的XXE做了一些攻击演示。
企业安全漏洞 已有 124230 人围观 ,发现 8 个不明物体
AMR智能合约漏洞分析
AMR智能合约漏洞分析
2018-07-09  
Ammbr主要目标是打造具有高度弹性且易于连接的分布式宽带接入平台,同时降低上网相关成本。
漏洞 已有 72879 人围观 ,发现 1 个不明物体
从最近的微信支付看XXE漏洞
从最近的微信支付看XXE漏洞
2018-07-08  
先说下写这篇文章的初衷吧,最近微信支付java_sdk刚爆发了一次xxe漏洞,然后领导赶快用自家的静态代码审计工具做了审计。
WEB安全漏洞 已有 165603 人围观 ,发现 5 个不明物体
代码审计 | Empire CMS v7.5后台XSS漏洞
代码审计 | Empire CMS v7.5后台XSS漏洞
2018-07-06  
由于最近渗透测试客户网站碰到了使用这个CMS的站点,于是就去官方下载了这个CMS审计看看,有一处代码的过滤方式并不严格,用的是htmlspecialchars进行实体编码过滤。
漏洞 已有 202334 人围观 ,发现 6 个不明物体
CNNVD 关于微信支付官方SDK XXE漏洞情况的通报
CNNVD 关于微信支付官方SDK XXE漏洞情况的通报
2018-07-05  
近日,国家信息安全漏洞库(CNNVD)收到关于微信支付SDK XXE(XML External Entity)漏洞(CNNVD-201807-083)情况的报送。
漏洞终端安全 已有 124622 人围观 ,发现 2 个不明物体
HDwiki二次注入案例分享
HDwiki二次注入案例分享
2018-07-04   +8
近期看到网上公布较多hdwiki最新版的安全漏洞,这里以我自己发现的二次注入漏洞进行分享。
漏洞 已有 92473 人围观 ,发现 5 个不明物体
关于phpMyAdmin 4.8.x LFI to RCE的一些分享
关于phpMyAdmin 4.8.x LFI to RCE的一些分享
2018-07-03  
这篇文章的出发点是在做渗透的过程中,如果遇到phpMyAdmin4.8.x,不需要再像常规那样有file权限才能RCE,这里只要结合后台本地文件包含和insert权限或select权限就可以RCE。
漏洞 已有 83856 人围观 ,发现 4 个不明物体
登录框之另类思考:来自客户端的欺骗
登录框之另类思考:来自客户端的欺骗
2018-07-02  
前几天刚见人发了一个登录框引发的血案,而常规的爆破有风控和各种变态验证码,或者大型的电商都会用SSO实现登录,密码找回逻辑看似天衣无缝,又或者采用第三方的Oauth授权。
WEB安全漏洞 已有 256924 人围观 ,发现 7 个不明物体
四两拨千斤:Ubuntu kernel eBPF 0day分析
四两拨千斤:Ubuntu kernel eBPF 0day分析
2018-07-02  
中国武术博大精深,其中太极作为不以拙力胜人的功夫备受推崇。同样如果从攻击的角度窥视漏洞领域,也不难看出攻防之间的博弈不乏“太极”的身影。
漏洞网络安全 已有 87704 人围观 ,发现 2 个不明物体
从以太坊MorphToken事件看智能合约构造函数大小写编码错误漏洞
从以太坊MorphToken事件看智能合约构造函数大小写编码错误漏洞
2018-06-29  
以太坊智能合约的含义就是一组代码(函数)和数据(合约的状态),它们位于以太坊区块链的一个特定地址上。智能合约一般使用solidity语言编写。
漏洞 已有 76314 人围观 ,发现 1 个不明物体
浅谈XML实体注入漏洞
浅谈XML实体注入漏洞
2018-06-29  
学习了XXE漏洞,自己来总结一下,如果有什么写的不到位,不够好的地方,还请师傅们指出。
WEB安全漏洞 已有 181646 人围观 ,发现 9 个不明物体
Pwn2Own华为某漏洞原理与利用分析
Pwn2Own华为某漏洞原理与利用分析
2018-06-28  
这部分漏洞分析属于之前MWR InfoSecurity的研究员报告中的第三部分,同样该报告仅有漏洞的简单描述,具体的PoC也未详细给出。
漏洞终端安全 已有 168352 人围观 ,发现 2 个不明物体
天台人满为患,不如来看下这个Ramnit蠕虫分析
天台人满为患,不如来看下这个Ramnit蠕虫分析
2018-06-28   +5
今年的世界杯越来越看不懂,想去天台吹吹风都不一定有位置……心凉了,事儿还得做,先从网上抓个可疑样本压压惊!上手分析才发现并没有我想得那么简单。
漏洞系统安全 已有 139228 人围观 ,发现 7 个不明物体
JDK7u21反序列化漏洞分析
JDK7u21反序列化漏洞分析
2018-06-27  
在上一次研究ApacheCommonsCollections的时候,由于本地的JRE环境是1.8,导致无法复现网上各位大佬提供的payload,但是在查找资料的过程中发现了ysoserial这个项目。
WEB安全漏洞 已有 89314 人围观 ,发现 1 个不明物体
一次Linux遭入侵,挖矿进程被隐藏案例分析
一次Linux遭入侵,挖矿进程被隐藏案例分析
2018-06-26  
我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿程序而使它获得更久存活,今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。
漏洞系统安全 已有 207472 人围观 ,发现 6 个不明物体

最新话题

数据安全分析思想探索

倚剑醉酒笑红尘 推荐:

日志分析在入侵检测中的应用越来越广泛,合适的使用日志,使日志产生巨大的价值,本文旨在探讨如何让日志的价值在安全领域发挥作用。

活动预告

css.php