漏洞 »

挖洞經驗 | 利用捐款功能形成重放攻擊實現Facebook身份認證繞過分析
挖洞經驗 | 利用捐款功能形成重放攻擊實現Facebook身份認證繞過分析
2019-12-20  
該篇Writeup是利用Facebook捐款功能形成身份驗證重放攻擊,實現Facebook賬戶雙因素認證(2FA)繞過的漏洞,原因在于Facebook在URL會話中加入的身份認證措施不夠完善。
WEB安全漏洞 已有 6792 人圍觀 ,發現 1 個不明物體
SEED:緩沖區溢出漏洞實驗
SEED:緩沖區溢出漏洞實驗
2019-12-19  
本文是基于美國雪城大學的seed實驗所做的緩沖區溢出實驗,筆者在進行實驗的時候參考了網上已有的部分博客,但是發現存在部分細節沒有詳細解釋,導致實驗過程中難以復現上述攻擊。
漏洞系統安全 已有 18082 人圍觀 ,發現 3 個不明物體
CVE-2019-17498:libssh2整形溢出漏洞分析
CVE-2019-17498:libssh2整形溢出漏洞分析
2019-12-18  
該漏洞并不是一個Openssh漏洞,所以它不會影響ssh。Libssh2是一個客戶端C代碼庫,它能夠幫助應用程序與SSH服務器建立連接。
漏洞系統安全 已有 27105 人圍觀 ,發現 2 個不明物體
TP-Link Archer系列路由器漏洞可使Admin賬戶密碼保護失效
TP-Link Archer系列路由器漏洞可使Admin賬戶密碼保護失效
2019-12-17  
Internet路由器是連接我們工作,服務和休閑的無所不在的設備,已經成為每個家庭,企業和公共場所不可或缺的一部分。盡管它們對于我們與世界的連接至關重要,但它們卻是我們每天使用的最不安全的設備之一。
漏洞終端安全 已有 28977 人圍觀 ,發現 1 個不明物體
挖洞經驗 | 用IP輪換+暴力猜解禁用未確認的Facebook賬戶
挖洞經驗 | 用IP輪換+暴力猜解禁用未確認的Facebook賬戶
2019-12-16  
本文分享的是通過IP輪換結合暴力破解方法禁用Facebook新創建的未確認用戶。
WEB安全漏洞 已有 49671 人圍觀 ,發現 8 個不明物體
挖洞經驗 | 百萬用戶個人信息泄露漏洞
挖洞經驗 | 百萬用戶個人信息泄露漏洞
2019-12-15  
今天分享的信息泄露漏洞涉及兩家大公司的網站,出于隱私保密原因就不具體標明公司名稱,漏洞導致將近百萬用戶的個人醫療數據PII和公司合作方信息存在泄露風險。
WEB安全漏洞 已有 55580 人圍觀 ,發現 5 個不明物體
挖洞經驗 | 利用graph.facebook.com中的反射型XSS實現Facebook賬戶劫持
挖洞經驗 | 利用graph.facebook.com中的反射型XSS實現Facebook賬戶劫持
2019-12-14  
本文分享的是graph.facebook.com中存在的反射型XSS漏洞,攻擊者利用該漏洞可以構造惡意鏈接引誘受害者訪問,添加賬戶綁定郵箱或手機號,從而實現對受害者Facebook賬戶的劫持。
WEB安全漏洞 已有 30915 人圍觀 ,發現 3 個不明物體
Python代碼審計實戰案例總結之SQL和ORM注入
Python代碼審計實戰案例總結之SQL和ORM注入
2019-12-13  
Python代碼審計方法多種多樣,但是總而言之是根據前人思路的遷移融合擴展而形成。目前Python代碼審計思路,呈現分散和多樣的趨勢。
WEB安全漏洞 已有 63943 人圍觀 ,發現 4 個不明物體
Google OpenTitan,硬件安全的泰坦之箭?
Google OpenTitan,硬件安全的泰坦之箭?
2019-12-12  
從Windows 98的CIH病毒,到2011年的BMW木馬,再到2018年的APT-28攻擊,底層安全威脅此起彼伏。企業信息基礎設施是否值得信任,已成為服務提供商需要回應的關鍵問題。
安全管理漏洞 已有 28503 人圍觀 ,發現 2 個不明物體
挖洞經驗 | 利用簡單暴力枚舉繞過目標系統2FA驗證機制
挖洞經驗 | 利用簡單暴力枚舉繞過目標系統2FA驗證機制
2019-12-09  
今天分享的這篇Writeup是作者在參與漏洞眾測中,針對目標系統的動態口令OTP (One Time Password),通過利用簡單的暴力枚舉方法,實現了對目標系統雙因素驗證機制2FA (Two-Factor Authentication)的繞過或破解。
WEB安全漏洞 已有 54497 人圍觀 ,發現 15 個不明物體
深入分析一個Pwn2Own的優質Webkit漏洞
深入分析一個Pwn2Own的優質Webkit漏洞
2019-12-07  
今年的Pwn2Own比賽剛剛結束,在Pwn2Own溫哥華站的比賽中,Fluoroacetate團隊所使用的一個WebKit漏洞成功吸引了我的注意。
漏洞系統安全 已有 49234 人圍觀 ,發現 2 個不明物體
挖洞經驗 | 從Avast殺毒軟件發現價值5000美金的反射型XSS
挖洞經驗 | 從Avast殺毒軟件發現價值5000美金的反射型XSS
2019-12-07  
本文講述作者從Avast桌面版殺毒軟件中發現反射型XSS漏洞(CVE-2019–18653 & CVE-2019–18654)。
WEB安全漏洞 已有 55525 人圍觀 ,發現 5 個不明物體
Apache Axis 1.4遠程命令執行詭異探索之路
Apache Axis 1.4遠程命令執行詭異探索之路
2019-12-07  
axis 全稱Apache EXtensible Interaction System 即Apache可擴展交互系統。axis 為創建服務器端、客戶端和網關SOAP等操作提供基本框架。
WEB安全漏洞 已有 46452 人圍觀
Strandhogg漏洞:Android系統上的維京海盜
Strandhogg漏洞:Android系統上的維京海盜
2019-12-04  
挪威一家安全公司披露了一個Android應用漏洞,并用描述維京海盜突襲戰術的單詞StrandHogg對其命名。值得慶幸的是,谷歌已采取措施解決該漏洞,并暫停了受影響的應用程序。
漏洞資訊 已有 68276 人圍觀 ,發現 1 個不明物體
挖洞經驗 | 繞過GitHub的OAuth授權驗證機制($25000)
挖洞經驗 | 繞過GitHub的OAuth授權驗證機制($25000)
2019-12-03  
今年,我想看看自己是否是全職漏洞賞金獵人的料,所以就從6月份開始每天抽出幾個小時的時間去測試GitHub的安全漏洞。
WEB安全漏洞 已有 88052 人圍觀 ,發現 8 個不明物體
無題大鵝模擬游戲(Untitled Goose Game)存在代碼可執行漏洞
無題大鵝模擬游戲(Untitled Goose Game)存在代碼可執行漏洞
2019-12-02  
經作者發現,Untitled Goose Game由于在其游戲存檔加載器(Save Game Loader)中存在不安全的反序列化機制從而可導致代碼執行漏洞。
漏洞終端安全 已有 58603 人圍觀 ,發現 4 個不明物體

最新話題

活動預告

css.php 什么app能玩二人麻将