前言Byob是一个开源的僵尸网络框架,在Github上有2k的star了,最近抽时间看了代码,分析一下。Botnet指的是,攻击者编写程序,该程序可自动在网络空间中利用漏洞控制计算机并以该计算机作为节...
新漏洞可导致攻击者劫持Kindle
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士今年4月初,亚马逊修复了Kindle 电子阅读器中的一个严重漏洞,可被滥用于控制用户设备,只需部署恶意电子书即可导致敏感信息遭泄露。...
2021前三季度最新开源漏洞发现工具清单
今年前三季度涌现了一批优秀的漏洞发现工具(开源),这些工具能够简化工作流程,自动化解决人为错误,并发现其他难以发现的缺陷。以下是2021年前三季度可供渗透测试人员、安全团队和DevOps人员使用的漏洞...
【安全热点周报】第201期:Windows Print Spooler远程代码执行漏洞POC扩散,EXP被公开
本文始发于微信公众号(奇安信 CERT):【安全热点周报】第201期:Windows Print Spooler远程代码执行漏洞POC扩散,EXP被公开
CVE-2021-23017:nginx DNS解析漏洞PoC公开
漏洞评级高危漏洞确认受影响版本0.6.18 - 1.20.0确认修复版本1.21.0、1.20.1厂商F5, Inc厂商官网https://nginx.org/厂商参考资料https://mailma...
Java注入类漏洞精选技术文章汇总
出品|MS08067实验室(www.ms08067.com)下列这些文章是团队在研究Java注入类漏洞时收集的高质量技术文章,在此推荐给大家。1.SQL注入《用javaPreparedStatemen...
未授权访问漏洞
01 WEB端未授权访问漏洞未授权访问未授权访问漏洞可以理解为需要安全配置或权限认证的地址,授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。...
【代码审计】 beescms 变量覆盖漏洞导致后台登陆绕过分析
一、漏洞描述:init.php中存在变量覆盖漏洞,而后台判断登陆的代码仅仅用$_SESSION一些键值进行了判断,导致覆盖$_SESSION的关键值后,可以绕过登陆的判断,从而登陆后台。二、漏洞分析过...
XMIND存在XSS执行RCE漏洞
△△△点击上方“蓝字”关注我们了解更多精彩0x00 Preface [前言/简介]2021年5月10日,360漏洞云监测到Xmind 2020存在XSS漏洞,攻击者可以借助该漏洞实现命令执行,在实际环...
BadAlloc:微软在IoT/OT设备中发现25个内存分配漏洞
近日,微软 Section 52研究人员在工业、医疗和企业网络中的IoT和OT 设备中发现多个严重的内存分配漏洞,攻击者利用这些漏洞可以绕过安全控制来执行恶意代码或引发系统奔溃。这些漏洞共获得了25个...
Linux Kernel信息泄露漏洞(CVE-2020-28588)
0x00 漏洞概述CVE IDCVE-2020-28588时 间2021-04-28类 型信息泄露等 级高...
HITB 2020:二进制漏洞挖掘仍是会议主流方向
本周Hack In The Box官方已经将大会演讲视频上传到YouTube,之前在官网有提供部分议题的pdf下载,但有些未提供的议题,这次也公开了视频,可以看到议题ppt内容。今年的议题更多集中在二...
1015