0x01 Zoom我在 Zoom 和 Microsoft Teams 之间做出决定。我猜测了哪些类型的漏洞可能会导致这些应用程序中的 RCE:Microsoft Teams 是使用 Electron ...
新型的攻击方式可以使亚马逊设备攻击自己
来自伦敦大学和卡塔尼亚大学的研究人员发现了如何将亚马逊Echo设备对自己造成破坏。这种攻击方式被称为 "Alexa vs. Alexa",它利用了研究人员所发现的 "命令自发漏洞",通过预先录制信息,...
【风险通告】开发者发布NPM node-ipc的恶意版本
0x00 风险概述本月,流行的 npm 包“node-ipc”背后的开发人员(RIAEvangelist)发布了该库的恶意版本,可删除俄罗斯和白俄罗斯用户的所有数据并覆盖开发者机器上的所有文件,追踪为...
SRC挖掘思路(三)
文章来自" bgbing安全",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!⦁ 前言故事线:未授权访问 => 在尖...
一次渗透测试引发的Json格式下CSRF攻击的探索
0x00 前言漏洞背景hw时期在电信三巨头之一旗下的子公司出差,做一下渗透测试。公网的业务主挖逻辑漏洞,但是每次挖着挖着就变成了CSRF攻击,出差半个月算是把这辈子的CSRF都给挖完了。testme师...
从绕过远程桌面登录保护到net use详解
前言之前看到了一篇文章:【漏洞利用】深信服EDR远程桌面登录保护绕过在知道远程Windows服务器的用户名密码后,准备远程登录时,被深信服EDR再次验证了:作者本地搭建深信服EDR,通过对比进程后发现...
等保2.0标准总结
请点击上面 一键关注!内容来源:CSDN博主「Hardworking666」目录一、等保流程与框架网络安全监管单位名词解释二、等级保护要点解读(以等保3级为例)三、等保技术方案统一身份认证解决方案四...
零信任对数据安全很重要
数据泄露的方式有多少种?首先,外部和内部威胁都可以针对它。外部威胁可能以恶意软件或勒索软件的形式出现。同时,内部威胁可能来自在受信任账户背后工作的恶意内部人员。内部人员只需单击网络钓鱼链接或被社会工程...
Veeam 数据备份修补严重漏洞、Apple 补丁日:iOS、macOS、iPadOS 中的安全漏洞
Veeam 周末宣布了针对影响 Backup & Replication 的两个关键漏洞的补丁,这是一种虚拟环境备份解决方案。该应用程序为在 Hyper-V、vSphere 和 Nutanix...
本草纲目V1.4 下载地址
本草纲目V1.4版本 使用、利用软件信息而造成的任何或直接的此后果及损失,均由用户本人承担责任,软件制作者不承担任何责任。 开普勒安全团队有此软件的修改和解释权,如欲转载或传播此软件,必须包括版权声明...
简单的权限绕过
好久不见印象中好久没发推文了,今年过了年就去上班了,这段时间一直在工作,没有多余的精力写文章,况且也不知道写什么,从去年到今年,已经很久没有挖漏洞了,一是要工作没有时间,二是个人原因。以后可能会经常写...
【漏洞预警】Microsoft Raw Image Extension 代码注入漏洞(CVE-2022-23300)
01漏洞描述微软在Windows商店中发布“RawImage Extension”,它为RAW格式图像添加了原生查看支持。通过安装本软件包,用户可以在Windows文件资源管理器中查看RA...
103