一种被命名为Chameleon的病毒可以通过WiFi相互之间传播

路人甲 / 2014-02-28

你知道计算机病毒可以直接在WiFi之间传播吗,在英国利物浦大学的安全研究人员已经证明了这种WiFi病毒,可以像人类感冒一样在计算机网络之间传播。

这种病毒是找到热点的固件漏洞,然后替换成病毒版本的固件,然后通过无线网络感染其他存在固件漏洞的热点。

苹果爆出新漏洞可被恶意APP利用记录用户键盘输入

路人甲 / 2014-02-26

有安全研究人员发现了苹果的另一个漏洞,可以被用来记录你在iOS设备上的每一个动作。
FireEye声称,此漏洞利用的是iOS在多任务处理时的缺陷。
FireEye发现了一种可以绕过苹果的应用审查过程,并在非越狱的iOS7上成功利用。
恶意app可以在后台运行,允许黑客监视用户的所有活动,包括触摸屏,home按键,音量按钮,并将收集的数据发送到远程服务器上。

国外社交软件Tinder被爆漏洞可定位任意用户位置

路人甲 / 2014-02-21

Tinder是国外的一款手机交友APP,这款应用在推出的两个月内,推荐匹配了超过 100 万对的爱慕者(双方第一眼互有好感),并获取了 3500 万个用户的账号打分。而它最初的着力点,正是在校园。它的功能实际很简单:基于你的地理位置,应用每天为你“推荐”一定距离内的四个对象,根据你们在 Facebook 上面的共同好友数量、共同兴趣和关系网给出评分,得分最高的推荐对象优先展示。

FireEye实验室在一次水坑式攻击中发现IE 0DAY

路人甲 / 2014-02-15

FireEye实验室确认,在美国的一个违法网站上发现了一个新的IE 10的0day,这是一个经典的偷渡式攻击。这个0day攻击成功后,会从远程服务器下载一个XOR编码的payload,然后解码并执行。

发表这个声明是为了警示广大网民,FireEye正在与微软安全团队合作进行防御。

N

J2EE远程代码执行那些事儿(框架层面)

Nebula / 2014-02-11

在J2EE远程代码执行中,大部分的代码执行情况的本质是,能够从外部去直接控制Java对象(其他语言暂不讨论,其实也差不多),控制Java对象大致包括几种情况:直接new对象;调用对象的方法(包括静态方法);访问对象的属性(赋值)等

G

struts2最近几个漏洞分析&稳定利用payload

genxor / 2014-02-11

看到网上关于struts2利用的文章非常多,但是对于漏洞触发跟踪分析的文档比较少,闲来无事跟踪了一下struts最近吵得比较火的两个漏洞,研究了一下能够稳定利用的payload。

WordPress 3.5.1远程代码执行EXP

瞌睡龙 / 2013-12-12

(ps:老外也有几分标题党的意思,虽然是wordpress本身留下的坑,但是目前的利用还是需要安装的插件踩到了这个坑,才会被利用成功,并且要进入后台……感谢horseluke帮忙测试并翻译EXP与总结部分。)

WordPress < 3.6.1 PHP 对象注入漏洞

路人甲 / 2013-09-13

当我读到一篇关于Joomla的“PHP对象注射”的漏洞blog后,我挖深了一点就发现Stefan Esser大神在2010年黑帽大会的文章:

V

CVE-2012-0053详解

VIP / 2013-08-15

Apache服务器2.2.0-2.2.21版本存在一个漏洞(CVE-2012-0053),攻击者可通过给网站植入超大的Cookie,使得HTTP头超过apache的LimitRequestFieldSize(最大请求长度)4192字节,apache便会返回400错误,状态页中就包含了http-only保护的cookies。

D

snmp弱口令引起的信息泄漏

D&G / 2013-08-02

snmp协议即简单网络管理协议(SNMP,Simple Network Management Protocol)。目前一共有3个版本:V1,V2c,V3。V3是最新的版本,在安全的设计上有了很大改进。不过目前广泛应用的还是存在较多安全问题的V1和V2c版本,本文讨论的内容也是基于这两个版本。

在线支付逻辑漏洞总结

瞌睡龙 / 2013-07-19

随着网民越来越习惯于网上购物,出现了越来越多的电商网站,在线交易平台等。
其中肯定要涉及在线支付的流程,而这里面也有很多逻辑。
由于这里涉及到金钱,如果设计不当,很有可能造成0元购买商品等很严重的漏洞。

OGNL设计及使用不当造成的远程代码执行漏洞

紫气东来 / 2013-07-19

OGNL是Object-Graph Navigation Language的缩写,它是一种功能强大的表达式语言(Expression Language,简称为EL),通过它简单一致的表达式语法,可以存取对象的任意属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。它使用相同的表达式去存取对象的属性。OGNL三要素:(以下部分摘抄互联网某处,我觉得说得好)

L

Android uncovers master-key 漏洞分析

livers / 2013-07-11

Bluebox的CTO Jeff Forristal在其官⽅方blog爆出一个漏洞叫做UNCOVERING ANDROID MASTER KEY,大致是不篡改签名修改android代码。

C

分析下难得一见的ROR的RCE(CVE-2013-0156)

clozure / 2013-01-14

关于该漏洞的详细说明,GaRY已经在zone中的一文中说的很清楚,因此本文主要的作用是科普下ROR的知识,大牛们请止步.

投稿

热门分类

Web安全 文章:244 篇
事件分析 文章:223 篇
漏洞分析 文章:209 篇
渗透测试 文章:152 篇
木马与病毒 文章:125 篇

最新评论

xiumu

lz1y表哥6

Rook1e

收藏啦

Rook1e

学到了

loopher

滴滴,学习卡,之前看到了一个deep-link的,没有深入这下学到了,谢谢辣

loopher

理由周末时间就搞了这么多,我好菜啊~~

RSS订阅