置顶
未授权数据库暴露了9300万个滥用药物患者的文件;天府杯黑客大赛:Chrome, Edge, Safari均被攻破;Zscaler披露两款通过伪造安全更新进行植入的木马。
Black Hat Europe带来了一系列物联网安全洞察;利用英特尔的管理引擎;Linux内核如何平衡公开bug泄露的风险。
滴滴出行安全应急响应中心(DSRC),是滴滴出行连接内外信息安全的桥梁,也是安全研究者反馈滴滴出行产品和业务安全问题的官方平台。
跟小黑学漏洞利用开发之SEH溢出;CVE-2019-11043 调试复现与分析;详解令牌篡改攻击(Part 1);Java反序列化利用链分析之CommonsCollections5,6,7,9,10
招聘
百度云是百度基于多年技术积累推出的云计算产品,具有安全,稳定,高性能,高可扩展性的特点。目前已为客户提供虚拟化与网络、存储与数据库、安全与管理、物联网、大数据分析、人工智能等多类云产品。
“AI+IoT”是未来的风口,也是小米核心战略之一,它带来了生活的便利,让人们感受到了科技带来的美好生活,而如何做好其中的安全防护及隐私?;ざ杂没Ш托∶锥际侵凉刂匾?。
近期,奇安信病毒响应中心在日常的样本运营中,发现了一起针对区块链虚拟货币交易平台的定向攻击,鉴于诱饵极具诱惑性,并且该定向攻击幕后团伙此前也被曝光过,鉴于攻击手法已经升级,我们对此进行了分析,并披露了此次攻击。
攻击者可以快速的从文件上传功能点获得一个网站服务器的权限,所以一直是红蓝对抗中的“兵家必争之地“。
审计SSM框架首先就要对MVC设计模式和,web三层架构有一定程度的了解,限于篇幅原因这里就简单介绍一下。
在这一系列文章中,我们将讨论基于Windows令牌(Token)的攻击方式,全面理解令牌、特权(Privilege)等知识点,了解令牌及特权在Windows系统安全架构中的实现机制。
Office宏、逃避和恶意的自我引用;利用英特尔的管理引擎——第1部分;mediaserverd中的整数溢出导致iOS sandbox escape;uEmu的修改版本,用于开发和分析代码重用攻击的payload。
前段时间,数字货币交易中心Coinbase爆出被黑事件。攻击者以钓鱼邮件方式向Coinbase员工私人邮箱发送电子邮件,完成前期潜伏、渗透工作后;在某个时机,攻击者以两个 Firefox 0day 漏洞发动“猛攻”。
网络安全从未像今天这样被重视,安全法规落地、安全技术进化、安全产品创新、安全意识普及……一个崭新的产业纪元已经到来!
看雪CTF(简称KCTF)是圈内知名度最高的技术竞技,从原CrackMe攻防大赛中发展而来,采取线上PK的方式,规则设置严格周全,题目涵盖Windows、Android、iOS、Pwn、智能设备、Web等众多领域。
本次EISS-2019企业信息安全峰会确定于2019年11月22日在上海举行。我们诚邀多位业内安全大咖作为演讲嘉宾分享实战经验。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
2019年11月3日,360CERT监测到业内友商发布了Apach Shiro Padding Oracle导致远程代码执行的漏洞分析。经360CERT分析研判,判断该漏洞等级为严重,危害面/影响面广。
CVE-2019-11043漏洞是PHP 7.x版本下FPM配合不恰当的Nginx配置可以导致RCE的一个漏洞,影响的具体版本如下:PHP 7.1版本小于7.1.33;PHP 7.2版本小于7.2.24;PHP 7.3版本小于7.3.11。
书接上回,我们继续研究如何在Win32系统上利用缓冲区漏洞,完成我们新漏洞利用开发,主要是关于SEH漏洞利用问题。写到这里有些人想说对于SafeSEH和SEHOP绕过利用这个我们有机会在后续篇文章研究。
本文继续分析CommonsCollections:3.1的相关反序列化利用链,这次主要分析CommonsCollections5,6,7,9,以及我找的一个新利用链,这里暂且将其称为10.