Imagetragick(CVE-2016-3714)漏洞分析 经验
在奇虎360这个互联网公司里,每一个突袭而来的漏洞,也意味360信息安全部将对此进行一场肉搏战,现在已经在午夜。对于CVE-2016-3714这个黑魔法漏洞,虽说看着面上也能看明白这个东西怎么回事,有时
hyfg04sgdau
OpenSSL CVE-2016-2107 漏洞分析 经验
一. 前言 最近360信息安全部的战友们够辛苦的,连夜修复漏洞,外部漏洞(ImageMagick)太凶残了,以致于连OpenSSL的洞都没有泛起多少波澜。 目前为外部企业服务的360天眼团队和360安服团队还在一线为企业救火。
MySQL 被曝出多个安全漏洞 资讯
Seclists 的一名安全研究人员在邮件列表中公布了一些 安全漏洞 ,其中有几个漏洞与 MySQL 有关。 这些漏洞包括: 一个 基于栈的缓冲区溢出漏洞 :已验证的数据库用户有可能引起 MySQL 守护进程崩溃,然后执行
jopen SSL/TLS/DTLS大漏洞:还原明文 资讯
两位安全研究人员 Nadhem Alfardan 和 Kenny Paterson 在网站上发布了名为 Lucky Thirteen: Breaking the TLS and DTLS Record Protocols 的文章,以 OpenSSL 和 GNU-TLS 为例,OpenSSL 的很多版本都可以完整的还原成明文,而 GNU-TLS 可以将最后一个 byte 中的 4 个 bits 还原成明文,目前发现基于 TLS 1.0/1.1/1.2,DTLS 1.0/1.2 和 SSL 3.0 的实现都受到了不同程度的影响
Apache Struts 2安全更新,修复重要漏洞 资讯
版本,由于该版本被发现存在重要的安全漏洞,因此该团队今天发布了 Struts 2.3.15.1 安全更新版本。 该版本修复的主要安全漏洞如下: 使用缩写的导航参数前缀时的远程代码执行漏洞 使用缩写的重定向参数前缀时的开放式重定向漏洞
名为 VENOM "毒液" 的 QEMU 漏洞被公开 资讯
在”禁运期“结束后,CrowdStrike的安全研究人员Jason Geffner 公开了名为VENOM"毒液“的QEMU漏洞 ,这个编号为CVE-2015-3456可以造成虚机逃逸, QEMU 是一个指令级模拟器的自由软件
P57 web常见漏洞与挖掘技巧 文档
WEB常见漏洞与挖掘技巧研究广东动易网络——吴建亮 Jannock@wooyun 2. 目录WEB常见漏洞及案例分析 WEB常见漏洞挖掘技巧 新型WEB防火墙可行性分析 Q/A 3. WEB常见漏洞及案例分析SQL注入
漏洞分析工具集 SWFRETools 开源项目
SWFRETools是一款漏洞分析工具集,SWFRETools中收集的工具可以用于Adobe Flash player漏洞分析和恶意SWF文件的恶意软件分析工作。SWFRETools部分由Java编写,部分由python编写并在GPL
码头工人 漏洞利用测试框架:OWASP Xenotix XSS 经验
Xenotix XSS Exploit Framework是一款用于检测和利用WEB应用程序中的XSS漏洞的渗透测试工具。这个工具可以将代码注入到含有xss漏洞的web页面中。 Version 4.5更新功能
iOS 9.2/9.2.1修补的内核漏洞 - PanguTeam 经验
iOS 9.2.1 中陆续修补了大量漏洞,其中Google Project Zero团队的Ian Beer报告了多个内核漏洞,并且在苹果修补后给出了 漏洞细节 。 条件竞争漏洞 通过查看公告可以发现除了
375805303 Linux 2.6.39 到 3.2.0 爆提权漏洞 资讯
Linux 2.6.39 到 3.2.0 内核爆提权漏洞,普通用户可以通过运行特定代码获得 root 权限。 重现方法: wget http://git.zx2c4.com/CVE-201
fmms MicroSD卡曝漏洞:可执行任意代码 资讯
Huang)报告了 MicroSD 卡的安全隐患。他和同事发现部分 SD 卡包含了能允许在卡上执行任意代码的漏洞,而在记忆卡上执行代码的能力将可用于发动一种难以探测的中间人攻击。 不过从好的一面上说,由于 SD
Adobe承认Flash存远程漏洞 资讯
Adobe周六发布了Flash播放器软件的更新版本,修补了未公开的漏洞,这个漏洞可能允许远程攻击者发动攻击获得Mac或PC的控制权,Adobe要求用户尽快进行更新,因为这个漏洞已经被黑客用来进行恶意行为。 OSX平台版本在16
P13 web应用漏洞学习利器 - WebGoat使用教程 文档
web应用漏洞学习利器-WebGoat使用教程 WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全
Android WebView 漏洞的利用、局限与终结 经验
法导致的远程代码执行漏洞由来已久,与其相关的CVE有三个( CVE-2012-6636 、 CVE-2013-4710 、 CVE-2014-1939 )。从乌云上暴露的相关漏洞来看,常见的利用方法就是通过反射获得java
PostgreSQL 累计漏洞修正版 资讯
、IBM 的 DB2 和 Microsoft SQL Server的一种选择。 PostgreSQL 不寻常的名字导致一些读者停下来尝试拼读它,特别是那些把SQL拼读为"sequel"的人。PostgreSQL
Apache Struts2 再现漏洞 资讯
Apache Struts 团队上周刚修复了 一个潜在的远程命令执行漏洞 ,今天再次发布新版本 2.3.14.3,修复了另一个重要的安全漏洞。 Struts 框架允许基于通配符的动作映射,且当一个请求
腾讯QQ再现重大漏洞! 资讯
今天上午,乌云漏洞平台发布一项腾讯 QQ 的新漏洞——QQ 群持久 XSS 攻击。据了解,攻击者只需向群内发送一个特定合法的 URL,即可在所有群用户查看群消息时触发恶意 Javascript 代码(可执行
IE是2014年漏洞最多的软件 资讯
蓝色为 2013 年漏洞数量,红色为 2014 年上半年漏洞数量 说到漏洞最多的软件,大家脑海中浮现的无非是 Flash、Java、IE、Chrome 这几款漏洞大户。根据 Bromium 公布的
Java曝远程代码执行漏洞 资讯
继本月初 Java官网曝本地文件包含(LFI)漏洞 ,可读取超过460位Oracle公司员工邮箱之后。今天Java又曝一系列安全漏洞,攻击者可在未授权的情况下在受害者的Java应用上远程执行命令,