禅道远程代码执行漏洞复现分析

2019-10-15 11:29:47257人阅读

2019年9月,禅道项目管理软件爆出全版本的RCE漏洞。于是便好奇漏洞的成因,在阅读作者的文章及自己复现分析后,发现漏洞其实算是一种越权调用,普通权限(用户组为1-10)的攻击者可通过module/api/control.php中getModel方法,越权调用module目录下所有的model模块和方法,实现SQL注入、任意文件读取、远程代码执行等攻击。

展馆可以更“聪明”!百度大脑AI智慧场馆落地中国科技馆

2019-10-14 21:49:24270人阅读

基于百度大脑领先的AI 技术和百度安全成熟的安全能力,软硬一体化的AI 智慧场馆解决方案不仅为其提供了更为高效、安全的管理手段,也为场馆的设计和运营创造了新的优化空间和更大的可能性。

百度大学生网络安全技能大赛

2019-10-14 15:56:01280人阅读

2019年“百度大学生网络安全技能大赛”,旨在服务于国家网络安全战略和网络强国建设、为全国网络安全高校人才增强实践、竞技比拼和交流互动提供舞台,发现、聚集和培养网络安全人才,为加快网络安全人才队伍建设作出贡献。大赛中涌现的优秀学子也将直达百度校招绿色直通车,建立高校与企业间的合作,扩宽学生的就业选择。

红蓝对抗攻防演习总结

2019-10-09 10:50:15931人阅读

甲方安全建设需要关注的点

本地化差分隐私技术及一种有效性验证方法

2019-10-08 16:42:44806人阅读

移动互联网在给我们的生活带来便捷的同时,也存在着诸多隐私数据安全的问题。如互联网社交巨头Facebook的隐私门事件,逾5000万用户的信息被泄露。

网络攻击个人银行的5种典型手段

2019-10-08 10:41:35672人阅读

在当今的数字时代,银行和金融服务公司为了提高竞争力,往往为客户提供了在线管理资金的便捷功能。但不幸的是,大多数银行平台都缺失安全设计,这导致黑客一直在利用这些潜在的隐患。

思科交换机新漏洞被发现,恐引起新一轮全球扫描

2019-10-08 10:40:40177人阅读

近期,思科修复了旗下明星产品Cisco Small Business 220系列智能交换机上的三个高危漏洞。

(转载)BUF大事件丨开挂一时爽,隐私数据火葬场;佳能单反相机被曝存在漏洞

2019-10-08 10:40:13301人阅读

近千尝试开挂的《Apex英雄》《CSGO》玩家个人信息被盗;佳能单反相机被曝存在漏洞,可远程安装勒索软件;中信银行因重大故障等原因未上报被罚 2190 万元;微软8月补丁修复了95个安全漏洞

为了比特币,核电站也能用来挖矿

2019-10-08 10:32:53153人阅读

乌克兰和白罗斯核电站被曝出利用核电站设施开采加密货币,这是否构成以权谋私?

CVE-2019-6145:未加引号的搜索路径和潜在滥用

2019-09-27 14:35:45631人阅读

​研究人员在Forcepoint VPN Windows客户端发现一个未加引号的搜索路径漏洞,本文就该漏洞和利用情况进行分析。

百度安全联合GeekPwn大赛,1024席卷而来

2019-09-27 14:18:24583人阅读

作为极棒大赛的常客,今年百度安全又会带着哪些精彩项目登陆?

Cobalt恶意组织针对某银行的完整攻击链分析

2019-09-27 13:59:02597人阅读

Cobalt恶意组织是一个针对财务发起攻击的网络犯罪组织,自2016年以来一直活跃。

基于Golang的加密货币挖矿恶意软件攻击活动

2019-09-27 13:58:27308人阅读

研究人员发现一起使用基于Golang的传播器的攻击活动释放了加密货币挖矿机payload。

一款名叫Slither的智能合约静态分析工具

2019-09-27 13:57:10317人阅读

Slither是第一个开源的针对Solidity语言的静态分析框架。具有速度快,准确性高的特点,而且能够在不需要用户交互的情况下,在几秒钟之内找到真正的漏洞。该工具高度可配置,并且提供了多种API来帮助研究人员审计和分析Solidity代码。

利用Bundle反序列化过程中不安全的Parcelable实现进行权限提升

2019-09-24 17:15:17459人阅读

新出现的CVE-2017-13315属于一组称为EvilParcel的漏洞,它们存在于各种Android系统中。这些漏洞使得在应用程序和系统之间的数据交换期间替换信息成为可能。因此,利用EvilParcel漏洞的恶意软件可以获取更高的权限

百度安全OTA全球化部署策略落地出入境场景

2019-09-24 15:10:21421人阅读

近日,百度安全与国内AI翻译机黑马品牌Langogo宣布达成技术合作,将为Langogo全产品线提供整套OTA升级的安全解决方案。

HTTP和HTTPS协议,看一篇就够了

2019-09-24 12:54:51518人阅读

本文分别介绍了HTTP和HTTPS两种网络协议的发展历史,运行原理和优劣比较。

普通防火墙和现代防火墙有什么区别

2019-09-24 12:53:46374人阅读

现代防火墙不仅能实现简单的IP地址和端口过滤,还能提供客户端防御及网络防护,无论是对个人还是企业都是必需品。

安全人员监测到大量针对酒店财务人员的钓鱼攻击

2019-09-19 17:12:57565人阅读

Malspam(恶意或恶意垃圾邮件的缩写)是一种垃圾邮件,目的是通过恶意url或受感染的附件发送恶意软件。

CVE-2019-9506:KNOB蓝牙漏洞分析

2019-09-19 17:12:03562人阅读

KNOB蓝牙漏洞影响十亿设备,攻击者可以利用该漏洞来监听加密流量。

加载更多