作者:匿名黑客 e编辑:李普君漏洞作者:路人甲相关厂商:新浪微博漏洞编号:Wooyun-2014-059455事情是这样的互联网这两天出了个不大不小的漏洞,我把他叫 「OAuth 回调污染」。OAut...
微软8月补丁星期二值得关注的几个0day、几个严重漏洞及其它
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士今天,微软发布8月补丁星期二,共修复了44个漏洞,其中7个被评级为“严重”级别,3个是0day 且其中1个已遭利用。受影响工具其中13个补...
文件解析漏洞总结-Apache
我最为熟悉的便是Apache了,先来研究它的文件解析漏洞。百度许久,又谷歌一番,最终发觉,Apache关于文件解析,似乎只有三种“漏洞”。之所以打引号是因为我觉得这三种“漏洞”都不是Apache的漏洞...
【风险通告】2020-2021年 30个常被利用的漏洞
0x00 风险概述2021年07月28日,CISA、澳大利亚网络安全中心 (ACSC)、英国国家网络安全中心 (NCSC) 和联邦调查局 (FBI)发布了一份联合安全公告(AA21-209A)披露了过...
ZoomEye Pro-情报驱动的网络空间资产安全管理系统
针对已知漏洞和高危特征的资产扫描,可用于资产普查、梳理与静态的风险评估。可是,现实的网络空间资产安全管理需要面对通用漏洞不断爆发,资产所受威胁不断变化,网络空间资产自身状态也在极速变化的种种情况,所以...
Linux sudo权限提升漏洞复现
1. 漏洞背景 1月26日,Sudo发布安全通告,修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓 冲区溢出漏洞。当sudo通过 -s 或 -i 命令行选项在shell模式下运行命令...
JSONP从漏洞原理到漏洞挖掘
什么是JSONP劫持漏洞 要了解jsonp接触漏洞,我们需要先了解这个概念: 同源策略 简单讲,同源策略指的是 只有同协议、同域名、同端口的服务可以传输数据,而不同的网站无法传输数据,用于保证我们传输...
国家漏洞库CNNVD:关于Intel多个安全漏洞的预警
关注我们带你读懂网络安全近日,国家信息安全漏洞库(CNNVD)收到关于多款Intel产品安全漏洞情况的报送,包括Intel BIOS权限提升漏洞(CNNVD-202111-917、 CVE-2021-...
Concrete CMS漏洞(第 1 部分 - RCE)
点击上方蓝字“Ots安全”一起玩耍介绍Concrete CMS 旨在为具有最少技术技能的用户提供易用性。它使用户能够直接从页面编辑站点内容。它为每个页面提供版本管理,类似于维基软件,另一种类型的网站开...
Windows 云同步引擎API整数溢出漏洞
随着云存储的普及,各种操作系统都添加了支持此类存储的服务和功能。现在可以在云端同步本地存储,同时也可以在系统上检索到问价。在 Windows 上,这种功能是通过Cloud Sync Engines云同...
某行小程序投标测试的思路和坑
先发下牢骚吧,最近看到的文章,大体上往底层概念越来越多,各种挖矿木马的,还有各种难理解的概念,都没有勇气点开看看了。 有关Web层次有价值的文献越来越少了,这点最近在打CTF时候也体现出来了...
分析数十年的ICS利用,确定漏洞修复优先级
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士工业网络安全公司 Dragos 发布了针对工控和运营技术系统漏洞的分析表示,这些研究成果有助于防御人员对漏洞修复和缓解促使进行优先级...
1202