文章列表
linux通配符的利用
忽然发现自己在限号名单里,有些慌,最近也比较懒没做什么渗透和ctf题,所以就发下之前打靶机的总结吧。之前在打hackthebox的靶机Shrek发现的一个技巧,也就是2014年公布的unix和linux中的通配符漏洞。简单来说这个漏洞就是可以添加linux命令中的参数作为文件名,执行的时候就可以执行创建的参数名,比如可
朝鲜黑客正在从网上购物者那里掠夺信用卡细节
荷兰网络安全公司SanSec报告了这些攻击。它写道,自2015年以来,数字掠夺技术一直在增长,虽然传统上是由俄罗斯和印度尼西亚语的黑客组织使用,但政府支持的朝鲜犯罪分子现在正在拦截在线商店的信用卡细节。 攻击涉及获取网店后端服务器的访问权限,通常是通过向员工发送诱杀邮件来获取他们的密码
Cloudflare在6月下旬遭到大规模DDoS攻击
6月21日,Cloudflare自动缓解了高容量的DDoS攻击,该攻击的峰值为每秒7.54亿个数据包。这次攻击是从6月18日到6月21日结束的为期四天的有组织运动的一部分:攻击流量是从超过316,000个IP地址发送到单个Cloudflare IP地址的,该地址主要用于我们免费计划中的网站。攻击期间未报告停机或服务降级,并且由
黑客组织 Keeper 追踪:三年间入侵 570 家电商网站 牟利 700 多万元
黑客组织“Keeper”表示对在过去三年间,全球超过 570 个在线电子商务网站的数据泄漏事件负责。该黑客阻止惯用伎俩是入侵商城的后台,修改源代码、嵌入恶意脚本、记录购物者在付款时的支付卡细节等等。这类网络攻击也被称之为“web skimming/e-skimming”(网页掠夺)。在威胁情报公司 Gemini Advisory
研究发现平均为70.91美元就能在暗网买到银行账户
据Digital Shadows网络安全研究人员称,包括银行账户和网络管理员账户在内的逾150亿条各类账户信息在暗网上“待价而沽”,其中有些信息甚至可供免费访问。许多账户被多次分享,表明用户不知道自己的账户已遭到攻击。即使信息存在重复,在暗网上“待价而沽”的“独立”账户超过50亿个。Digital Shadows
服刑10年出狱后,天才黑客眼中的世界变成这样了
编者按:Jesse William McGraw是名为 Electronik Tribulation Army(ETA)的无政府主义黑客组织负责人,在 2011 年因入侵医院系统以及工控 SCADA 系统而被判入狱 110 个月。服刑期间,他因为使用狱友的账号登陆计算机而被抓住遭到彻底的技术隔离。出狱之后他目睹了技术在过去十年发生的翻天覆地的变化
成都电子科技大学被印度留学生黑了
都电子科技大学被印度留学生搞了,教学楼显示屏出现“拒绝中国制造”口号?自从前段时间中印边境冲突之后,印度反华的情绪就一直居高不下,从最开始抵制中国制造,砸电视、砸手机,到后来下架国内59款APP参考:突发!以“国家安全”为名,印度政府宣布封杀59款中国APP (附名单)钉子刷微博的时候刷到一
F5 BIG-IP 远程代码执行漏洞复现
## 漏洞详情F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意Java
名为FakeSpy的Android恶意软件三年后“重现江湖” 比以前更危险
该应用能够窃取用户的短信、银行信息和应用数据。该恶意软件通过一条看似来自当地邮局的短信进行传播,并指示用户下载一款伪装成合法邮局应用的应用。据Cybereason的一份新报告显示,一款名为FakeSpy的危险Android恶意软件已重新出现。FakeSpy是近三年前被安全研究人员首次发现的,是一款特别恶劣的恶
火绒安全(huorong.cn) SQL注入漏洞
火绒安全(huorong.cn) SQL注入漏洞
