一、前言 "漏洞修复"是安全管理的重要内容,很多安全管理者谈到"打补丁"都非常头痛,担心打完补丁会影响业务系统的正常运行。是否有不修复漏洞,同时能保障业务系统安...
使用西门子工控系统的注意了,已经暴露了15个安全漏洞
网络安全研究人员披露了西门子 SINEC 网络管理系统 (NMS) 中 15 个安全漏洞的详细信息,其中一些可能被攻击者混合使用,以在受影响的系统上实现远程代码执行。工业安全公司 Claroty在一份...
CISA:威胁行为者利用Log4Shell漏洞入侵VMware服务器
近期,CISA表示,包括国家支持的黑客组织在内的威胁行为者仍在使用 Log4Shell (CVE-2021-44228) 远程代码执行漏洞针对 VMware Horizon和统一访问网关 (UAG) ...
做渗透一定要知道的基础知识
网络渗透1.什么是网络渗透网络渗透是攻击者常用的一种攻击手段,也是一种综合的高级攻击技术,同时网络渗透也是安全工作者所研究的一个课题,在他们口中通常被称为”渗透测试(Penetration Test)...
蓝队必备技能之-systeminternal工具集使用
TL;DR在应急遇到windows系统的时候经常会使用systeminternals suite套件,这个套件是由Mark Russinovich开发,systeminternals suite工具套...
渗透实战!获取2500刀赏金的全过程
黑客视频教程限时免费订阅扫码免费看这篇文章是关于作者和他的朋友如何从Cafebazaar bug赏金计划中获得约2500美元奖励的故事。一.侦察阶段在侦察阶段,作者枚举了mailx.heza...
思科Webex Meetings的新漏洞使攻击者能够窃取身份验证令牌
Windows的Cisco Webex Meetings客户端中发现的一个新漏洞可能允许经过本地身份验证的攻击者访问敏感信息,包括用户名,身份验证令牌和会议信息。Cisco Webex Meeting...
发条短信即可远程访问你的所有电子邮件
注意!注意!基于短信的网络钓鱼攻击可轻易诱使数十亿安卓用户修改自身设备关键网络设置。手机更换新 SIM 卡,首次接入蜂窝网络时,运营商服务会自动设置,或向用户发送一条包含接入数据服务所需特定网络设置的...
【挖洞经验】 看我如何发现微软Outlook for Android移动应用的XSS漏洞
此次分享的Writeup是关于Outlook for Andriod的存储型XSS漏洞,作者通过朋友发来的技术邮件偶然发现了该漏洞,历经长达几个月的复现构造,最终微软承认了该漏洞(CVE-2019-1...
域持久性:银票攻击
白银票证是针对特定服务的伪造服务或 TGS 票证,可用于在与 Active Directory 企业域连接的受感染系统上保持持久性。在攻击...
Apache Shiro Padding Oracle Attack(Shiro-721)反序列化漏洞复现
点击上方“蓝字”,发现更多精彩。0x00 漏洞描述在用户进行登录的时候,Apache Shiro 提供 RemenberMe 功能,可以存储 cookie,期间使用的是AES-128-CBC进行加密,...
MEGA修复了允许解密用户数据的关键漏洞
Bleeping Computer 网站披露,MEGA 发布了一个安全更新,以解决一系列可能会暴露用户数据的严重漏洞。据悉,即使用户数据以加密形式存储,仍存在安全风险。MEGA 总部位于新西兰,主要提...
261