文章列表
海通证券(htsec.com)某处越权+任意文件上传,可getshell
海通证券(htsec.com)某处越权+任意文件上传,可getshell
恶意网站滥用11年都未修复的Firefox 漏洞
恶意软件作者、广告发布者和骗子正在通过恶意网站滥用Firefox的一个漏洞来进行恶意活动。恶意网站随处可见,并不新鲜,但如今,有些网站却使用着前所未有的手段进行恶意活动,利用的是Mozilla工程师11年来并未修复的 Firefox 漏洞(该漏洞首次披露是再2007年4月)。笔者看了下关于这个漏洞的说明,当时被
使用Fuzzing挖掘零日漏洞
Infosec Insider Derek Manky 讨论了在当今的环境和新技术下如何促进安全领域的Fuzzing研究Fuzzing是一个听起来很难认真对待的术语。但鉴于今天的攻击格局,我们需要它。Fuzzing一直是专业威胁研究人员用来发现硬件和软件接口和应用程序漏洞的复杂技术。他们通过将无效,意外或半随机数据注入接口或程
澳大利亚反加密法引发全面反弹
新通过的澳大利亚法律可能允许政府迫使科技公司在其产品中创建后门。一项备受争议的澳大利亚法案于周四通过,该法案可以让政府获得受端到端加密保护的数据。这项名为“援助和获取法”的法案授权澳大利亚警方基本上强迫公司(在该国经营)帮助政府入侵系统,种植恶意软件或插入后门。安全专家和技术公司
谷歌修复了11个Android RCE 高危漏洞
12月,谷歌的Android安全公告表示,他们解决了53个高危安全漏洞,引人注目的是RCE漏洞占主导地位。这11个严重的RCE漏洞是Android安全团队修补的53个漏洞中的一部分,其中6个是与操作系统的媒体框架和系统组件相关的RCE漏洞。根据谷歌的说法,没有这些漏洞在野利用的消息。谷歌的Pixel和Nexus设备、三星
优酷(youku.com)某处短信轰炸漏洞
优酷(youku.com)某处短信轰炸漏洞
乐视(letv.com)某处反射型xss跨站漏洞
乐视(letv.com)某处反射型xss跨站漏洞
告警! UID > INT_MAX的非特权Linux用户可以执行任何命令(内含POC)
大多数Linux操作系统上UID值大于2147483647的低特权用户帐户在未经授权下可执行任何systemctl命令,这就是新发现的漏洞。漏洞实际上存在于PolicyKit(也称为polkit)中 。polkit是适用于类Unix操作系统的应用程序级工具包,它定义策略、处理系统范围的权限,并为非特权进程提供与特权进程通信的方式(
疑似黑客组织TA505再出手,在新的活动中传播多种远控木马
Morphisec Labs的研究人员在上周发现了一场大范围的网络攻击活动,同时针对了多个目标。研究人员将这场活动命名为“Pied Piper(花衣魔笛手)”,因为它通过网络钓鱼在多个国家/地区交付了多种远程访问木马(RAT)。其中一起行动交付了FlawedAmmyy RAT。这个木马病毒可以让攻击者完全控制受害者的PC,
超过20,000个WordPress僵尸网站攻击其他WordPress网站
通过WordPress的安全公司Defiant了解到,攻击者使用超过20,000个已经攻陷的WordPress网站对其他WordPress站点发起攻击。Defiant公司负责管理和发布Wordfence插件——这是一个用于WordPress网站的防火墙系统。该公司表示,它已经检测到上个月被攻陷的网站对其他WordPress网站进行了超过500万次的尝试登
