FineCMS v2.1.5前台一处XSS+CSRF可getshell
FineCMS一个XSS漏洞分析 FineCMS是一套用CodeIgniter开发的中小型内容管理系统,目前有三个分支:1.x,2.x,5.x,这次分析的 ......
以Mirai僵尸网络为例,浅析IoT恶意软件dropper
IoT恶意软件概述 IoT恶意软件即针对智能设备等物联网嵌入式设备的恶意程序。最近一段时间以IoT设备为肉鸡 ......
看个视频也被黑?加载字幕文件触发播放器漏洞实现系统入侵
Checkpoint研究人员最近发现了一种新型攻击手段–字幕攻击,当受害者加载了攻击者制作的恶意字幕文件后将会触发播放器漏洞, ......
对众多知名公司造成影响的Oracle Responsys本地文件包含漏洞
今天我要向大家展示的是,我如何发现了Oracle Responsys云服务系统中的一个本地文件包含漏洞(LFI)。由于当前很多商业销售 ......
一种几乎无法被检测到的Punycode钓鱼攻击,Chrome、Firefox和Opera等浏览器都中招
国内的安全专家最近发现一种新的钓鱼攻击,“几乎无法检测”,即便平时十分谨慎的用户也可能无法逃过欺骗。黑客可利用Chrome、 ......
MySQL曝中间人攻击Riddle漏洞,可致用户名密码泄露
针对MySQL 5.5和5.6版本的Riddle漏洞会经由中间人攻击泄露用户名密码信息。请尽快更新到5.7版本。...
Word曝0day漏洞:无需启用宏,打开文档就自动安装恶意程序
其实利用Word宏作为分发恶意程序的方式是如今的常规途经,所以很多人选择禁用宏,然而如果说禁用宏都没用,这样的恶意Word文 ......
Java AMF3曝远程代码执行漏洞
近期,德国安全团队@codewhitesec发现了Java AMF3的多个功能实现漏洞,美国CERT/CC也发出了安全预警。攻击者可以 ......
Apache Struts2再曝远程代码执行漏洞(S2-046 附PoC)
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。...
CVE-2017-3731:截断的数据包导致OpenSSL拒绝服务
前言 OpenSSL是一个流行的SSL开源库,被世界各地的各种软件和公司使用。1月份,OpenSSL发布了一个更新以修复多个漏洞 ......
38款Android设备预装恶意程序,三星、OPPO、小米等都中招
CheckPoint的专家们最近在38台Android设备中发现了严重的感染情况,这38台设备属于一家大型通讯公司和一家跨国科技企业。重 ......
【漏洞预警】Apache Struts2 曝任意代码执行漏洞 (S2-045,CVE-2017-5638)
FreeBuf上次曝Struts 2的漏洞已经是半年多以前的事情了。这次的漏洞又是个RCE远程代码执行漏洞。简单来说,基于Jakarta Mult ......
Trustwave:中国制GSM语音网关存在Root权限后门
近日,网络安全公司Trustwave发布了一份报告,称在一家名为DBL Technology(得伯乐科技)的中国公司生产的GoIP GSM语音网关 ......
【漏洞预警】潜伏11年的Linux内核提权漏洞曝光
漏洞编号 CVE-2017-6074 漏洞概述 Linux内核近日又曝出权限提升漏洞,该漏洞可追溯至2005年,漏洞影响Linux操作系统主要 ......
Python与Java曝漏洞,黑客利用FTP注入攻击可绕过防火墙
研究人员最近发现,Java和Python运行时都存在漏洞,它们未能正确验证FTP URL中的特殊字符,最终导致黑客甚至能够绕过防火墙 ......
新曝WordPress REST API内容注入漏洞详解
近日,来自Sucuri的研究人员发现WordPress存在重大漏洞,漏洞在于WordpressREST API,成功利用该漏洞可删除页面或修改页面内 ......
TEW-654TR路由器漏洞分析和挖掘
0×00 前言 拜读完devttys0前辈的”exploiting embedded systems”系列.分析了下相关固件 路由器型号: TEW-654TR 固件下 ......
暴风影音AviIndexChunk字段堆溢出漏洞分析实战
0×00 背景 年前Fuzzing暴风影音时,得到一个avi格式poc样本,MSEC插件提示Exploitable,一直拖到现在才把整个分析过程整理 ......
“自动填充”功能可能已经泄露了个人信息
大多数用户在填写网页表单时,曾为填写重复信息而苦恼。为满足用户需求,Google Chrome 等主流浏览器提供了“自动填充”功能, ......
网传支付宝被曝光「熟人可以篡改密码」致命漏洞?
今晨,安全客接到网友反馈,其账号被朋友登陆,并展示了银行卡及免密码支付功能可以正常使用(非常用设备、IP环境、地理位置 ......