Wget是一款从用于从网络上下载文件的开源工具,使用非常广泛。然而现在,它却出现了一个严重的安全漏洞:当Wget向FTP服务器请求递归目录时,存在一个关于软链接的漏洞,它将允许黑客任意创建文件、目录或...
漏洞分享
漏洞分享
网络安全
勒索软件CoinVault:拿钱来,给你一个恢复文件的权限
之前FreeBuf曾向大家介绍过CryptoLocker,Critroni,PowerLocker等勒索木马,这些木马会通过加密锁定被感染的计算机,要求受害者支付赎金后才能返还控制权,否则你硬盘里的文...
漏洞分享
沙虫漏洞(CVE-2014-4114)利用测试方法
本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 漏洞时间 2014年10月底 测试目标 装有office2007,office2013的机器。 漏洞...
安全测试中如何实现对资源控制
有一个电子政务系统要求做三级安全测试,测试有一项要求是 资源控制。检测要求如下:1、当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;2、应能够对系统的最大并发会话连接数...
PHP168 V6.02整站系统远程执行任意代码漏洞
漏洞出在inc/function.inc.php里面.get_html_url()这个函数.code 区域function get_html_url(){ global $rsdb,$aid,$fid...
网络安全
关于聚合数据窃取用户通讯录的完整分析
起因 之前在测试聚合数据的 iOS SDK Demo 的时候,发现会请求通讯录权限 … 当时刚睡醒没多久,拿了自己在用的手机,还点了 Allow。然后我就在 Charl...
网络安全
如何使用Wappalyzer API进行Web应用指纹识别
Web应用指纹识别,是web渗透信息收集最关键的一步,这方面开源的工具也非常多,像BlindElephant,whatweb 以及在非安全圈都很火的wappalyzer。本文主要描述如何使用...
网络安全
旧瓶装新酒:Google Drive是如何被用于钓鱼攻击的
黑客们的目标正在逐渐瞄准那些云存储服务,比如谷歌云端存储(Google Drive)。几天前,趋势科技的安全研究人员就发现了一个盗取用户敏感账户信息的钓鱼攻击活动。在这次的钓鱼事件中,攻击者精心制作了...
漏洞分享
漏洞预警:FTP曝严重远程执行漏洞,影响多个版本
10月28日,一份公开的邮件中曝出FTP远程执行命令漏洞,漏洞影响到的Unix系统包括:Fedora, Debian, NetBSD, FreeBSD, OpenBSD, 甚至影响到了苹果的OS X操...
漏洞分享
callback噩梦:解析著名CMS框架Drupal SQL注入漏洞
FreeBuf科普 Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。连续多年荣获全球最佳...
