最新漏洞
【漏洞预警】Struts(S2-049) 中危
追梦
脆弱性的影响 DoS攻击可用于Spring安全措施 最大安全评级 中 受影响的软件 Struts 2.5 - Struts 2.5.10.1 问题 当使用Spring AOP功能来保护Struts操作时,当用户被正确认证时,可能会执…
WordPress插件为SQL注入大开方便之门
SQL注入原理 1、SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式) 2、SQL命令对于传入的字符串参数是用单引号字符所包…
第五届中国网络安全大会
第五届中国网络安全大会(NSC2017)在京隆重举行 或 第五届中国网络安全大会(NSC2017)在京盛大召开 或 第五届中国网络安全大会 观信息安全“产、学、研、用” 或 第五届中国网络安全大会(NSC2017…
【安全会议】ISC中国互联网安全大会五岁啦!
2013,2014, 2015, 2016, 2017…… 在互联网快速发展迭代的潮流中,ISC中国互联网安全大会已走到第五个年头,今年迎来了五岁生日。 五届聚力前行 安全永无止境 ISC中国互联网安全大会始办于2013年,在国家互…
Samba远程代码执行漏洞(CVE-2017-7494)分析
概述 2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。360…
Bitdefender在处理PE代码签名的organizationName字段时存在缓冲区溢出漏洞
一、漏洞概要 本文描述了Bitdefender PE引擎中存在的一个缓冲区溢出漏洞。 Bitdefender提供了“反恶意软件(antimalware)”引擎,该引擎可以集成到其他安全厂商的产品中,Bitdefender在自家产品中…
【Pwn2own漏洞分享系列】利用macOS内核漏洞逃逸Safari沙盒
作者:360vulcan团队 背景 在Pwn2own 2017 比赛中,苹果的macOS Sierra 和 Safari 10 成为被攻击最多的目标之一。在此次比赛过程中,尽管有多支战队成功/半成功地完成了对macOS + Safa…
绕过安全狗之类的防护软件
00x01 目前大多数网站都存在类似安全狗,360主机卫士的防护软件,所以今天咱们来一波虐狗 00x02 下面是我整理的一些免杀的思路: 1.关键字替换 2.组合猜分 3.关键函数替换 4.加解密/编码/解码 5.可变变量 可变变量…
如何自己动手编写漏洞POC
1 前言 善于编写高质量POC,有助于我们更好地发现和利用漏洞,再结合爬虫探测程序,就可以构建一个比较完善的漏洞利用框架。编写POC的门槛并不是很高,关键还是在于对漏洞本身的理解,只要有兴趣,再加点技巧,你就会发现其实都是套路。 2…
phpcms v9.6.1任意文件下载漏洞分析及EXP
漏洞分析 这个漏洞的套路跟之前的那个SQL注入漏洞一样。 这次我们顺着来看这个漏洞产生的过程。 漏洞触发点在文件/phpcms/modules/content/down.php,来看init函数: 通过GET获取到$a_k参数内容,…