追梦 的所有文章
通过Burp以及自定义的Sqlmap Tamper进行二次SQL注入
追梦
导语:web应用程序在上一个世纪已经从简单的脚本演变成了单页面的应用程序。这种复杂的web应用容易出现不同类型的安全漏洞。 其中一种安全漏洞被叫做二次注入,形成原因为,攻击者输入的攻击载荷首先会存储到web服务器中,然后web服务器…
SAP安全修补日 – 2017年8月解决了19个漏洞
SAP刚刚为其产品发布了另一套安全补丁,共处理了19个漏洞,最常见的漏洞类型是XSS。 周二,SAP发布了 一整套安全补丁 ,共遇到19个软件漏洞,其中大部分被评为中等级别。最常见的漏洞类型是跨站点脚本(XSS)。 在SAP修复…
自驾车可以很容易地被黑客入侵,只需在路标上贴上贴纸
一个专家团队非常简单高效,标志牌上贴上一个简单的贴纸可能会混淆任何自驾车,并可能导致事故。 我们已经讨论过汽车黑客多次,这是一个吓人的现实,安全专家设计的众多黑客证明可以妥协现代连接的汽车。 专家团队展示的最新攻击非常简单高效,标志…
黑帽子2017 – 黑客电子门打开门可能很容易
很多时候,我们在电影中看到黑客和间谍打破电子锁与任何种类的电气设备。可能吗? 很多时候,我们在电影中看到黑客和间谍打破了电子锁与任何一种电气设备。 一个袖珍设备,在几秒钟内能够尝试所有可能的组合,找到正确的打开门。 在黑帽2017黑…
解锁更多姿势——手机锁屏安全研究
一、概述 随着手机功能越来越多,其在我们生活中扮演的角色也越来越重要,除了保存传统的通讯录、短信、照片等个人隐私,现在的手机还是一个支付工具,如果手机被盗用,手机锁屏密码就是保证大家数据和资金安全的第一道屏障。我们最近也研究和总结了…
【漏洞公告】CVE-2017-11610:Supervisord 远程命令执行漏洞
Supervisord是一款由Python语言开发,用于管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。 近期,Supervisord曝出了一个需认证的远程命令执行漏洞(CVE-2017-11610),通过POST请…
Microsoft 再次修复曾用于传播 Stuxnet 震网蠕虫的 Windows 系统漏洞
据外媒 8 月 4 日报道,Microsoft 于 6 月 17 日发布新安全更新程序,再次修复用于传播 Stuxnet 震网蠕虫的 Windows 系统漏洞(CVE-2017-8464)。 Stuxnet 震网蠕虫病毒于 2010…
全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?
导语:这个密码库有5.3GB大小,里边包括3.06亿个不重合泄漏密码。 前不久美国国家标准和技术协会(NIST)发布《数字身份验证指南(DAG)》的最新草案,建议企业定期检查用户是否使用了已泄漏密码。 NIST说得很委婉,他们其实可…
命令执行的bypass技巧
首先感谢p总提供的精妙思路 在一些存在命令执行漏洞的地方,通常程序员也会做一些过滤 但是这些过滤往往只是针对某些特定字符,或者关键字的,因此存在绕过的方法。 首先我们来看看在UNIX shell下的一些特殊变量 PS2变量,被定义为…
HBO电视网被黑:《权力游戏 7》视频泄露
导语:据 Entertainment Weekly媒体报道,未知名的黑客团队已经从HBO窃取了1.5兆兆字节的数据,包括HBO还未上映的电视剧、《球手们》电视剧种子、《104号房》,除此之外还泄露了即将上 映的《权力游戏7》第四集。…