挖洞经验 | 看我如何找到雅虎的远程代码执行漏洞并获得5500刀奖金
我一直认为与人分享是一个非常好的特质,我从脆弱性奖励领域的许多安全研究专家那里学到了很多东西,我终生可以使用,所以我决定关注这篇文章。我分享了我最近的一些小发现,并希望这些东西能帮...
- 0
- 0
- 黑客
- 发布于 2017-06-08 00:00
- 阅读 ( 1424 )
黑客
SecPulse“脉搏涌动”第二届安全技术交流沙龙
召集令 近年来,遭遇僵尸网络、木马、蠕虫病毒入侵的终端机数量激增,而僵尸网络和木马是造成隐私泄露、垃圾邮件和大规模拒绝服务攻击的重要原因,为了个人和企业的安全,安全脉搏携手各大SRC等互联网企业共同举…
- 0
- 0
- 黑客
- 发布于 2017-06-05 08:00
- 阅读 ( 767 )
如何保护网页按钮不被XSS自动点击
前言 XSS自动点按钮有什么危险? 在社交网络中,通过单击按钮(例如发布消息)启动许多操作。如果消息系统具有XSS漏洞,则除了攻击之外,用户还可以发布XSS。——它可以自动填写邮件内容,然后单...
- 0
- 0
- 黑客
- 发布于 2017-06-02 00:00
- 阅读 ( 1440 )
【国际资讯】Chrome缺陷导致网站秘密记录音频和视频
谷歌浏览器存在用户体验设计缺陷,允许恶意网站在用户不知情的情况下录制音频或视频。 2017年4月10日,AOL的开发者Ran Bar-Zik告诉谷歌这个漏洞,但谷歌否认它是一个有效的安全漏洞,并没有...
- 0
- 0
- 黑客
- 发布于 2017-06-02 00:00
- 阅读 ( 1444 )
看个视频也被黑?加载字幕文件触发播放器漏洞实现系统入侵
检查点研究人员最近发现了一种新型攻击 - 字幕攻击,当受害者加载攻击者制造的恶意字幕文件时会触发玩家漏洞,从而使受害者系统完全控制“无声”系统。根据测试,攻击方法可以成功实现许多知名视...
- 0
- 0
- 黑客
- 发布于 2017-06-01 00:00
- 阅读 ( 1536 )
安天移动安全2017年Q1移动终端钓鱼网站分析报告
前言 随着移动互联网的快速发展,智能手机、平板电脑等移动终端用户数量呈爆发式增长,移动智能终端安全问题愈发凸显。大量手机病毒、伪基站横行,不法分子利用钓鱼短信、虚假网站进行电信欺诈的恶意活动也愈演愈烈…
- 0
- 0
- 黑客
- 发布于 2017-05-31 08:00
- 阅读 ( 507 )
对众多知名公司造成影响的Oracle Responsys本地文件包含漏洞
我今天要向您展示的是我如何在Oracle Responsys云服务系统中发现本地文件包含漏洞(LFI)。由于许多商业销售,网络存储和社交网络公司目前使用Oracle Responsys的云解决方案,该漏洞影响了许多...
- 0
- 0
- 黑客
- 发布于 2017-05-30 00:00
- 阅读 ( 1140 )
如何用扫描仪控制的恶意程序,从隔离的网络中获取数据(含攻击演示视频)
最近,来自以色列的一组安全研究专家发明了一种可以从物理隔离网络中窃取数据的新技术。研究人员表示,他们可以使用扫描仪控制目标主机上的恶意软件,然后从物理隔离网络中的计算机中提取目标数...
- 0
- 0
- 黑客
- 发布于 2017-05-28 00:00
- 阅读 ( 1130 )
【技术分享】iOS版微信处理GIF表情不当导致闪退分析
一、 背景情况 从5月17日开始,天线宝贝的GIF表达在每个微信群中流传。在iOS版微信中,只要打开包含此GIF表达式的聊天窗口,就会导致微信闪回。 在具体分析之前,猜测了崩溃的原...
- 0
- 0
- 黑客
- 发布于 2017-05-28 00:00
- 阅读 ( 1247 )
一张GIF引发的微信崩溃
今天早上,我的朋友给我发了一个表情,见下文,就是这个。 这不是天线宝贝卖的可爱系列表情包,就在我看着两个孩子砸到臀部GIF地图找到幸福时,微信突然卡住了闪回来。然后我打开它,第二次回...
- 0
- 0
- 黑客
- 发布于 2017-05-26 00:00
- 阅读 ( 1468 )
【技术分享】看我如何利用他人的账号来发推文
写在前面的话 最近,在社交网络Twitter(遵循Twitter的漏洞奖励计划)的漏洞挖掘过程中,我发现了一个漏洞,允许攻击者冒充Twitter用户发送推文,攻击者在整个过程中根本不需要访问。目标用...
- 0
- 0
- 黑客
- 发布于 2017-05-26 00:00
- 阅读 ( 1259 )
【国际资讯】黑客能绕过三星S8虹膜扫描器(含演示视频)
三星Galaxy S8各种基于生物识别的验证系统,包括人脸识别,指纹扫描仪和虹膜扫描仪。虹膜验证允许用户解锁设备并授权付款,“这是锁定手机最安全的方法之一。” 尽管每个用户的虹膜都是独一无二...
- 0
- 0
- 黑客
- 发布于 2017-05-24 00:00
- 阅读 ( 1078 )
【技术分享】通过短信进行XSS攻击:在Verizon Message应用中利用文本消息进行攻击
Verizon 消息(消息+)是用于移动,桌面和Web应用程序的软件客户端的集合,用于促进和统一跨设...
- 0
- 0
- 黑客
- 发布于 2017-05-24 00:00
- 阅读 ( 1208 )
Uber平台现身份认证漏洞,利用漏洞可重置任意账户密码
意大利安全专家Vincenzo C. Aka在优步平台上发现了身份验证漏洞,任何帐户都可以使用此漏洞重置密码。这一发现于昨天正式宣布。事实上,七个月前发现了引发“身份危机”的漏洞。 Vincenzo C. Aka...
- 0
- 0
- 黑客
- 发布于 2017-05-23 00:00
- 阅读 ( 1239 )
【知识库】 文件操作漏洞面面观
文件操作漏洞是web领域最经典的一类漏洞了,结合其他的漏洞比如SQL注入,往往会有意想不到的效果。因其具有任意代码执行的能力,是使一般漏洞到严重漏洞,比如严重的信息泄漏,甚至getshell的最佳路径…
- 0
- 0
- 黑客
- 发布于 2017-05-22 08:00
- 阅读 ( 508 )
远控木马中的VIP:盗刷网购账户购买虚拟礼品卡
为了省钱,很多人会尝试各种各样的方法免费获取网盘和视频网站的VIP权限。正因为有这种需求,各种所谓的“网盘不限速神器”或是“VIP助手”也就应运而生了。但这个工具那个助手的真就靠谱么?360互联网安全…
- 0
- 0
- 黑客
- 发布于 2017-05-22 08:00
- 阅读 ( 511 )
DocuSign网站用户资料泄露 病毒团伙利用邮件疯狂作恶
一、综述 近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign的用户正在遭受病毒邮件的攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。请DocuSign的用户提高警惕,…
- 0
- 0
- 黑客
- 发布于 2017-05-21 08:00
- 阅读 ( 511 )
【漏洞预警】Joomla!3.7.0 Core SQL注入漏洞(更新漏洞环境)
前言 的Joomla!它是世界上最流行的内容管理系统(CMS)解决方案之一。它允许用户自定义构建站点以实现功能强大的在线应用程序。据不完全统计,互联网上有超过3%的网站运行Joomla!与此同时,...
- 0
- 0
- 黑客
- 发布于 2017-05-19 00:00
- 阅读 ( 1154 )
【技术分享】基于云端的本地文件包含漏洞(影响Facebook等多家公司)
前言 Hello,大家好!今天我将向大家分享前段时间我是如何挖到的一个基于云端的本地文件包含漏洞。漏洞影响Facebook、Linkedin、Dropbox等多家企业。 此LFI(本地文件包含漏洞)的触发点位于O...
- 0
- 0
- 黑客
- 发布于 2017-05-19 00:00
- 阅读 ( 1055 )
【技术分享】如何绕过WAF/NGWAF的libinjection实现SQL注入
写在前面的话 在我们开始之前,让我向您介绍libinjection。 Libinjection是一个非常受欢迎的开源项目[Transportation],由Signal Sciences的Nick Galbreath开发和维护。 在此之前,市场上绝...
- 0
- 0
- 黑客
- 发布于 2017-05-17 00:00
- 阅读 ( 1268 )
