# 漏洞#

267篇文章

勒索病毒防范措施与应急响应指南

2019-12-31 16:08:492322人阅读

本篇详解了安全应急响应人员遇到勒索病毒时该如何去处理,并且可以给客户提供哪些勒索病毒防范措施和应急响应指导等。

2019网络安全大事记

2019-12-30 20:18:082326人阅读

​2020元旦将至,zdnet研究人员总结了2019年以来最严重的黑客攻击、数据泄露事件。

ThinkPHP5.1.x反序列化调用链复现分析

2019-12-20 14:37:271982人阅读

最近研究了phpok5.3反序列化可直接getshell的漏洞,又见到土司里对ThinkPHP多个版本调用链的总结,于是便想着来复现分析一下。本文只是对反序列化调用链的分析,POC并不能直接被利用,需要基于ThinkPHP开发的代码有可用的反序列化入口。

PHPOK5.3几处漏洞复现分析

2019-12-04 22:23:113747人阅读

2019年11月,互联网上爆出PHPOK5.3两处SQL注入漏洞,而且都是前台(无需登录)注入漏洞,于是便在docker中搭建环境复现并且分析了一下。两处SQL注入的入口都为api.php,注入一需要后台开启生成API验证串,注入二则无限制但注入点在order by后。同时,在复现过程中还发现了一处jsonp可泄露sessionid的漏洞。

GitHub trending:「黑掉神经网络指南」项目

2019-11-26 21:41:442762人阅读

德国研究人员Michael Kissner近日在GitHub上发起了HackingNeuralNetworks的项目,该项目总结了很多攻击和防御神经网络攻击的方法和经验,用于教学示范。

华中科大邹德清:源代码智能漏洞挖掘深度学习带来新可能

2019-11-18 17:44:243474人阅读

邹德清教授在百度安全承办的天府杯AI安全论坛上分享了对漏洞检测领域的新思考。

CVE-2019-9848:python翻译器代码执行漏洞

2019-11-04 16:21:362949人阅读

本文介绍LibreOffice中一个允许攻击者执行任意代码的漏洞。

禅道远程代码执行漏洞复现分析

2019-10-15 11:29:473897人阅读

2019年9月,禅道项目管理软件爆出全版本的RCE漏洞。于是便好奇漏洞的成因,在阅读作者的文章及自己复现分析后,发现漏洞其实算是一种越权调用,普通权限(用户组为1-10)的攻击者可通过module/api/control.php中getModel方法,越权调用module目录下所有的model模块和方法,实现SQL注入、任意文件读取、远程代码执行等攻击。

百度大学生网络安全技能大赛(附报名表)

2019-10-14 15:56:011777人阅读

2019年“百度大学生网络安全技能大赛”,旨在服务于国家网络安全战略和网络强国建设、为全国网络安全高校人才增强实践、竞技比拼和交流互动提供舞台,发现、聚集和培养网络安全人才,为加快网络安全人才队伍建设作出贡献。大赛中涌现的优秀学子也将直达百度校招绿色直通车,建立高校与企业间的合作,扩宽学生的就业选择。

红蓝对抗攻防演习总结

2019-10-09 10:50:154508人阅读

甲方安全建设需要关注的点

思科交换机新漏洞被发现,恐引起新一轮全球扫描

2019-10-08 10:40:401211人阅读

近期,思科修复了旗下明星产品Cisco Small Business 220系列智能交换机上的三个高危漏洞。

(转载)BUF大事件丨开挂一时爽,隐私数据火葬场;佳能单反相机被曝存在漏洞

2019-10-08 10:40:132710人阅读

近千尝试开挂的《Apex英雄》《CSGO》玩家个人信息被盗;佳能单反相机被曝存在漏洞,可远程安装勒索软件;中信银行因重大故障等原因未上报被罚 2190 万元;微软8月补丁修复了95个安全漏洞

CVE-2019-6145:未加引号的搜索路径和潜在滥用

2019-09-27 14:35:451963人阅读

​研究人员在Forcepoint VPN Windows客户端发现一个未加引号的搜索路径漏洞,本文就该漏洞和利用情况进行分析。

基于Golang的加密货币挖矿恶意软件攻击活动

2019-09-27 13:58:271631人阅读

研究人员发现一起使用基于Golang的传播器的攻击活动释放了加密货币挖矿机payload。

利用Bundle反序列化过程中不安全的Parcelable实现进行权限提升

2019-09-24 17:15:171776人阅读

新出现的CVE-2017-13315属于一组称为EvilParcel的漏洞,它们存在于各种Android系统中。这些漏洞使得在应用程序和系统之间的数据交换期间替换信息成为可能。因此,利用EvilParcel漏洞的恶意软件可以获取更高的权限

Steam Windows客户端本地权限提升0 day漏洞分析

2019-09-19 17:09:071485人阅读

研究人员发现了如何在安装了Steam的Windows计算机上获得的漏洞利用的方法,以最高权限运行应用程序,并将漏洞提交,但未被采纳。

挖洞经验 | Facebook的Gmail验证机制存在的CSRF漏洞

2019-09-12 13:52:041304人阅读

本文分享的是一个Facebook CSRF漏洞,攻击者利用该漏洞,可在验证新创建Facebook账户时,以最小用户交互方式用受害者邮箱验证其注册的Facebook账户,实现间接CSRF攻击。

CVE-2019-6177:影响联想设备8年的漏洞

2019-09-12 13:45:171087人阅读

​研究人员发现联想Lenovo Solution Centre软件中存在一个权限提升漏洞。

连中三元!百度安全携AI安全前沿议题亮相HITB GSEC 2019

2019-09-11 13:07:291374人阅读

当地时间 8 月26 日- 30日,欧洲顶级信息安全会议HITB(HACK IN THE BOX)GSEC 2019在新加坡召开。百度安全带来的议题“连中三元”,成为本届议题入选最多的国内企业,刷新历史纪录,再一次证明百度安全在AI安全攻防领域的领先地位。

Asruex后门变种通过Office和Adobe漏洞感染word和PDF文档

2019-09-06 22:12:421642人阅读

​研究人员最近发现一个Asruex后门变种可以通过之前发现的Office和Adobe漏洞来感染word和PDF文档。

0
现金券
0
兑换券
立即领取
领取成功