hidden | CN-SEC 中文网

安全新闻

Android Zygote 注入漏洞曝光：攻击者可借此执行代码获提权

在 Android 操作系统中，研究人员发现了一个编号为 CVE-2024-31317 的严重漏洞。该漏洞允许攻击者借助 Zygote 进程，在整个系统范围内执行代码并提升权限。此缺陷影响运行 And...

03月31日11 views评论

阅读全文

程序逆向

Windows LNK - 分析与概念验证 - 安全研究

概述我偶然看到了趋势科技的文章《ZDI-CAN-25373：Windows 快捷方式漏洞在广泛的 APT 活动中被滥用为零日漏洞》。TL;DR 以下是他们的摘要：- Trend Zero Day In...

03月26日8 views评论

阅读全文

安全文章

【CVE-2024-31317】利用Android Zygote的注入攻击

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c...

03月10日38 views评论

阅读全文

安全博客

两则JSON CSRF实例

最近面试被问到JSON CSRF，还刚好挖过他们家SRC两个实际案例，当时挖洞的时候也特地去查过JSON CSRF的资料，可面试的时候怎么也没想起来，遂翻出以前SRC的报告记录一下再整理下JSON C...

02月27日14 views评论

阅读全文

安全文章

内网攻防之一键创建隐藏账号

声明以下内容，均为文章作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章作者不承担任何责任。长白山攻防实验室拥有该文章的修改和解释...

02月15日11 views评论

阅读全文

安全闲碎

卢森堡大学 | Tor隐藏服务指纹识别技术分析

原文标题：Analysis of Fingerprinting Techniques for Tor Hidden Services原文作者：Andriy Panchenko, Asya Mitsev...

02月13日11 views评论

阅读全文

安全文章

如何不使用Fuzz得到网站所有参数与接口？

访问某VUE站点，发现直接重定向要求从飞书登陆，立马抓包丢掉请求了。imagecopy使用JS替换在本地调试修改尝试绕过image copy 2直接全局搜索跳转到url找到原因，把这个注释掉并保存，...

01月28日11 views评论

阅读全文

安全文章

记一次Self XSS+CSRF组合利用

这个漏洞是我在应用程序的订阅表单中发现的一个 XSS 漏洞，只能通过 POST 请求进行利用。通常情况下，基于 POST 的 XSS 如果没有与 CSRF 结合来展示其影响力，那么这就是...

01月26日6 views评论

阅读全文

安全文章

ViewState反序列化漏洞详解

前言在一次测试过程中遇到了这个ViewState的反序列化漏洞，当时对于利用方式以及原理都不太清楚，因此有了这边文章，学习一下viewstate的漏洞原理以及利用方式。ViewState基础介绍Vie...

01月22日30 views评论

阅读全文

安全博客

Webshell 过狗没意思，我们要过人！

Webshell 过狗没意思，我们要过人！一份带 Webshell 过人指南一个经典的过人 WebShell 大概是在前年，闲着无聊的时候翻阅知乎，看到了这么一个回答： https://www.z...

01月10日2 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2024-11-21 Hidden

今天为大家推荐的论文来自中科院计算所内构安全实验室投稿并发表在 TACO 2024 上的最新工作Shining Light on the Inter-procedural Code Obfuscati...

11月23日7 views评论

阅读全文

安全新闻

朝鲜黑客BlueNoroff针对加密货币行业发起Hidden Risk攻击活动

导读根据 SentinelOne 的调查结果，朝鲜 APT 组织“ BlueNoroff ”正在针对加密相关企业发起代号为“Hidden Risk（隐藏风险）”的攻击活动。该活动使用网络钓鱼电子邮...

11月08日41 views评论

阅读全文

Android Zygote 注入漏洞曝光：攻击者可借此执行代码获提权

Windows LNK - 分析与概念验证 - 安全研究

【CVE-2024-31317】利用Android Zygote的注入攻击

两则JSON CSRF实例

内网攻防之一键创建隐藏账号

卢森堡大学 | Tor隐藏服务指纹识别技术分析

如何不使用Fuzz得到网站所有参数与接口？

记一次Self XSS+CSRF组合利用

ViewState反序列化漏洞详解

Webshell 过狗没意思，我们要过人！

G.O.S.S.I.P 阅读推荐 2024-11-21 Hidden

朝鲜黑客BlueNoroff针对加密货币行业发起Hidden Risk攻击活动

在线咨询

微信