思科发布了一份安全公告,详细说明了开源防病毒引擎 ClamAV 的对象链接与嵌入 2 (OLE2) 文件解密例程中的一个漏洞。该漏洞的编号为 CVE-2025-20128,可使未经身份验证的远程攻击者...
特斯拉充电器漏洞让黑客在 Pwn2Own 上赢得 129,000 美元
本周,由趋势科技零日计划 (ZDI) 在日本东京举办的 Pwn2Own Automotive 2025 黑客大赛第二天,研究人员获得了丰厚的奖励。 活动第二天共支付了 335,500 美元,加上第一天...
攻击 Entra Connect Sync :第 1 部分
这是关于攻击者围绕 Active Directory 和 Entra 之间的同步机制进行交易的系列文章中的第一部分。第一篇博文是一篇简短的博文,演示了对 Entra 用户的完全控制如何等于对本地用户的...
Grove:一款软件即服务型安全日志收集框架
关于Grove Grove是一款软件即服务型(SaaS)安全日志收集框架,旨在帮助广大安全分析人员从不支持日志流的服务中收集安全日志等数据。 Grove 使团队能够以可靠且一致的方式从其供应商处收集安...
2025 Pwn2Own Automotive
“又鸽一周没更新,前2周又是比赛和议题的,实在没时间,先水一篇,下次一定(bushi)” 今年年初,首届 Pwn2Own Automotive成功举办,在为期三天的活动中颁发了共计1,323,750美...
深入剖析:Linux 中间件的配置与优化
上一篇推文,我们介绍了 Linux 搭建网站时常见的中间件选择和网站默认路径。本节将进一步深入,探讨这些中间件的配置与优化,以帮助您构建高性能、安全的网站。Apache 配置与优化:虚拟主机: 虚拟主...
Kibana原型链代码执行漏洞(CVE-2024-37287)
漏洞描述: Kibana 是一个开源的数据分析和可视化平台,提供了一个Web界面,用户可以通过它来创建仪表板,这些仪表板可以展示实时数据,并允许用户通过各种方式对数据进行切片和筛选,2024年8月,官...
【漏洞预警】Apache SeaTunnel Web 身份验证漏洞(CVE-2023-48396)
预警公告 高危近日,安全聚实验室监测到 Apache SeaTunnel 中的Web存在身份验证漏洞,编号为:CVE-2023-48396,漏洞评分:8.2 此漏洞由于 jwt 密钥在应用程序中是硬...
车联网安全基础知识之ECU常见接插件/连接器
点击上方蓝字谈思实验室获取更多汽车网络安全资讯在测试零部件,搭建台架的时候,很多情况下没有完整的接插件线束。此时需要自己识别并连接所需的接口线束。当手头没有对应的线束的时候,需要使用一些平替,如杜邦线...
【车联网】车载可用摄像头漏洞研究(转载)
硬件探索由于没有外壳与系统进行交互,也没有明文固件可供分析,我们不得不借助内存转储来进行任何工作。该型号内部由 2 块 PCB 组成,有屏蔽罩隐藏芯片组。拆除后,可以识别芯片组制造商和型号。SoC 是...
CAN/CAN FD接口的ESD防护
引言:ESD可能发生在任何有外露连接器的系统上,包括CAN总线接口,通常这些连接器在汽车装配和维护时外露。例如在装配一辆汽车时,需要将电缆布线与汽车中的控制模块相连,这样当它们穿过工厂时,这些模块上可...
【漏洞通告】Apache Tomcat Connectors mod_jk信息泄露漏洞安全风险通告
漏洞背景近日,嘉诚安全监测到Apache Tomcat连接器mod_jk中存在一个信息泄露漏洞,漏洞编号为:CVE-2023-41081。mod_jk(也称为JK)是Apache服务器和Tomcat应...