文章列表
浅谈渗透测试中权限持久化技术
浅谈渗透测试中权限持久化技术0x01 前端权限持久化XSS、CSRF0x02 后端、中间件权限持久化后端脚本(Webshell)Apache、IIS、Nginx0x03 数据库权限持久化Mysql、Mssql、Oracle0x04 操作系统权限持久化Linux、Windows
WPA3中的“Dragonblood”缺陷允许恢复Wi-Fi密码
研究人员在WPA3协议中发现的一系列漏洞可能允许攻击者获取Wi-Fi网络的密码。最新版本的WiFi安全协议WPA3于2018年6月正式推出,旨在提供更好的保护,防止脱机字典攻击和密码猜测尝试,即使使用不太复杂的密码也能提高安全性,并提前保密即使密码已被泄露,也可以保护通信。WPA3也有漏洞了!WPA3将提供个
安全人员在 Wi-Fi WPA3 标准中发现了 Dragonblood 漏洞组
两位安全研究人员今天披露了一组漏洞,这些漏洞统称为Dragonblood,影响了WiFi联盟最近发布的WPA3 Wi-Fi安全和认证标准。如果被利用,漏洞将允许在受害者网络范围内的攻击者获得Wi-Fi密码并渗透目标网络。Dragonblood漏洞组总共有五个漏洞,包括一个拒绝服务攻击漏洞、两个降级攻击漏洞和两个侧通道信
无需下载直接反弹shell-蚁剑XSS/RCE之window/linux环境
今天爆出蚁剑的XSS到RCE,但是公布的是perl的利用方式,分享一个windows下直接反弹的姿势。**使用AntSword要么主机安装有nodejs环境,要么使用官方提供的解析器,所以都是支持nodjs,因此可以基于nodejs直接在windows/linux环境反弹shell.**PS:其实能执行CMD,通过powershell,bitsadmin,certutil等下
中青遨游网(aoyou.com)某分站任意文件上传漏洞,可getshell
中青遨游网(aoyou.com)某分站任意文件上传漏洞,可getshell
PostgreSQL 辟谣存在任意代码执行漏洞:消息不实
近期在互联网媒体上流传 PostgreSQL 存在任意代码执行的漏洞:拥有‘pg_read_server_files’权限的攻击者可利用此漏洞获取超级用户权限,执行任意系统命令。针对此言论,PostgreSQL 官方在2019年4月4日发表声明如下:互联网媒体上报导的有关 PostgreSQL 方面的安全漏洞 CVE-2019-9193,PostgreSQL 安全
Apache 服务器存在高危提权漏洞,请升级至最新版本 2.4.39
本来昨天转了但是没放图被删了……今天加上图重新转Apache HTTP 服务器于4月1日发布了最新的稳定版本 2.4.39,主要是修复安全问题。开发团队在 2.4.39 中修复了 Charles Fol 发现的漏洞并表达了谢意在发布更新不久后,安全研究人员 Charles Fol 便在其博客发布了关于 Apache 服务器一个本地提权漏洞的
比特币钱包Electrum遭遇大规模DOS攻击 已造成数百万美元损失
知名比特币钱包Electrum的服务器遭到严重攻击,建议用户在完全修复之前尽量不要使用该交易平台。据悉一个拥有14万台机器的复杂僵尸网络度Electrum的服务器发起了拒绝服务(DoS)攻击,意图引导用户跳转至虚假网站来窃取他们的比特币。黑客攻击者甚至部署了集成“后门”版Electrum客户端的自家服务器。
三星Galaxy S10手机存在被黑客攻击的风险,加密钱包安全性遭质疑
图片来源:visualhunt由于三星Galaxy S10开创性地将加密货币钱包进行了整合,其被广泛吹捧为加密货币领域的游戏规则改变者,但它的安全性显然远低于预期。今年2月,三星宣布其最新款S10手机将整合一款安全的区块链钱包,用于存储加密资产私钥。但最近Imgur上发布的一段新视频显示,一名名叫Darkshark
4月编程语言排行榜:C++重回前三 PHP呈下降势头
IOBE 公布了2019年4月编程语言排行榜,总体排名变化不大,排名前十的分别是:Java, C, C++, Python, Visual Basic .NET, C#, JavaScript, SQL, PHP 和 汇编语言。不过与上期相比,依然有值得关注的亮点:1.C++ 超越 Python,重新拿回第三名的位置2.PHP 由上个月的第八名下降到现在的第九名3.Objective-
