闪电贷款攻击主要是黑客从平台借入大量不需要进行抵押的资金,购买大量的加密货币,然后人为提高其价格,然后抛售这些货币。使用获得的钱来偿还贷款,因此借款人可以获得大量的利润。Mango Markets周二...
快速上手的网站漏洞挖掘(渗透)思路
一、登录框常见漏洞1、常规漏洞sql注入、万能密码我们在用户名中输入 ‘or 1=1#,密码随意。就变成了select name.passwd from users where username= ‘...
零时科技 || Earing Farm攻击事件分析
事件背景零时科技区块链安全情报平台监控到消息,北京时间2022年10月15日,DeFi 投资工具 Earning.Farm 遭受闪电贷攻击,黑客获利超 34 万美元,攻击者地址为0xdf31f4c8d...
Windows Mark of the Web 绕过漏洞获得非官方补丁
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Windows Mark of the Web (MotW) 安全机制中存在一个已遭利用的0day。目前微软尚未发布修复方案,不过0pat...
DangerousSavanna:为期两年的针对非洲法语区的金融机构的攻击
最近的研究表明,中非和西非超过 85% 的金融机构多次遭受包括盗取信息、盗窃用户身份、转账欺诈和用虚假支票取款等多重网络攻击。本文会介绍研究人员发现的一个名为 DangerousSavanna(危险草...
实战|对1521端口的渗透以及踩坑
一次渗透测试中,目标所有的漏洞都测试完毕,却唯独剩了个1521端口,于是就针对1521端口进行了一系列的测试。利用1、首先想到的是爆破SID在Oracle中,SID是System IDentifier...
【论文分享】过期域名剩余信任引发的潜在安全风险分析
互联网域名的注册是带有期限的,每天都有大量域名的使用权因过期而发生变更。然而,由于此类“易主”现象对于域名的访问者来说难以预知,域名在其使用权变更后,仍然能收到部分“老访客”的访问流量(即residu...
从SSRF到RCE:微软不打算修复Office Online Server 中的这个漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员表示,运行Microsoft Offine Online Server 的Windows 服务器可被用于实现服务器端请求伪造 (...
面临风险的王国之钥:加速暴露的单点登录(SSO)凭据
“ “王国之钥”的泄露风险单点登录(SSO)凭据被网络安全专业人士认为是“王国之钥”。员工使用这些凭据登录一次就可以访问许多应用程序,可以说,SSO凭据是企业组织最不希望被窃取或在暗网上出...
第27篇:CSRF跨站请求伪造漏洞挖掘及绕过校验方法
Part1 前言 此案例源于一次对金融系统的漏洞挖掘,主要漏洞点集中在CSRF跨站请求伪造漏洞上,印象比较深。这个系统经过各个厂商N轮测试了,功能点又少,漏洞挖掘的难度很大,但是...
点击劫持攻击-概念梳理
在本节中,将解释什么是点击劫持,描述点击劫持攻击的常见示例,并讨论如何防范这些攻击。什么是点击劫持?点击劫持是一种基于界面的攻击,通过点击诱饵网站中的内容,诱骗用户点击隐藏网站上的可操作内容。来看如下...
2022年威胁行情:勒索软件仍在重创许多公司
勒索软件领域在数量方面并没有发生变化,但SecureWorks的研究人员报告,2022年5月和6月的事件响应活动表明,勒索软件攻击的成功率有所下降。不过,现在下结论还为时过早。几个原因可以解释成功的勒...
261