2021年7月31日,开源网安研究院编写的《国内高校网络与信息安全研究成果调研报告(2016-2020)》(以下简称《报告》)正式发布。高校和科研院所对于网络与信息安全领域的发展具有极大地推动作用,同...
行业动态|《工业互联网平台安全白皮书(2020)》发布
12月4日,2020年中国工业信息安全大会暨全国工控安全深度行(京津冀站)在北京国际会议中心举行。大会由国家工业信息安全发展研究中心、工业信息安全产业发展联盟主办,以“贯彻总体国家安全观,把牢工控安全...
【漏洞利用】GHSL-2020-227:服务器端模板注入导致 SCIMono 中未经身份验证的远程代码执行 - CVE-2021
点击上方蓝字“Ots安全”一起玩耍协调披露时间表2020-11-11:问题报告给 SAP 信任中心2021-09-02:该问题已在0.0.19 版本中修复2021-09-02:公共咨询概括在SCIMo...
Linux Kernel信息泄露漏洞(CVE-2020-28588)
0x00 漏洞概述CVE IDCVE-2020-28588时 间2021-04-28类 型信息泄露等 级高...
HITB 2020:二进制漏洞挖掘仍是会议主流方向
本周Hack In The Box官方已经将大会演讲视频上传到YouTube,之前在官网有提供部分议题的pdf下载,但有些未提供的议题,这次也公开了视频,可以看到议题ppt内容。今年的议题更多集中在二...
【技术分享】chrome exploitation解读:CVE-2020-16040漏洞分析与利用
前言本篇主要是对zer0con2021上chrome exploitation议题v8部分的解读。这个漏洞发生在Simplified Lowering phase的VisitSpecula...
OpenSSH_scp命令注入漏洞复现(CVE-2020-15778)
漏洞介绍OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令,不过前提是需要知道ssh的登录密码。OpenSSH 的 8.3p1 中的 scp 允许在...
(CVE-2020-11978)Apache Airflow 命令注入漏洞
零组安全团队点击蓝字关注我们01漏洞简介默认情况下Airflow Web UI是未授权访问的,直接可以登录,而登录后,只能查看DAG的调度状态等,无法进行更多操作。但Airflow Web UI中提供...
详细分析微软“照片”应用图像编码器漏洞 (CVE-2020-17113)
聚焦源代码安全,网罗国内外最新资讯!在上一篇《微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析》中,笔者基于对Olympus e300 相机raw格式...
(CVE-2020-13151)Aerospike 数据库主机命令执行漏洞
零组安全团队01漏洞简介攻击者借助特制的UDF利用该漏洞以当前用户权限在该集群的所有节点上执行任意的操作系统命令。02漏洞影响Aerospike 社区版 <5.1.0.303复现过程首先导入CV...
CVE-2020-1938:Tomcat AJP协议文件包含漏洞分析
PS: 文章仅用于研究漏洞原理,促进更好的防御,禁止用于非法用途,否则后果自负!!! 0x01 漏洞简介 Tomcat根据默认配置(conf/server.xml)启动两个连接器。...
2020 年 CNCF 中国云原生调查报告
CNCF 定期进行社区调研,以便更好地了解开源技术和云原生技术的应用情况。本次是在中国进行的第四次云原生调查,以期更加深入地掌握中国云原生实施的步伐和速度。本次调查于 2020 年 12 月和 202...