安全客 - 安全资讯平台

置顶

活动

投稿福利 | 安全客双十一投稿加加券来袭，单篇加88，两篇加188、最高加388元~还有360扫地机器人和智能音箱等你来拿哦~

活动

双十一

加加券

投稿福利

一年只有过一次双十一，才能意识到自己究竟能有多穷

安全客
2019-11-06 14:45:44

78140次阅读 5

Windows

详解令牌篡改攻击（Part 1）

Windows

令牌

在这一系列文章中，我们将讨论基于Windows令牌（Token）的攻击方式，全面理解令牌、特权（Privilege）等知识点，了解令牌及特权在Windows系统安全架构中的实现机制。

興趣使然的小胃
2019-11-15 10:30:22

稿费： + 200

2108次阅读

安全资讯

11月15日每日安全热点 - Office宏、逃避和恶意的自我引用

Office宏、逃避和恶意的自我引用；利用英特尔的管理引擎——第1部分；mediaserverd中的整数溢出导致iOS sandbox escape；uEmu的修改版本，用于开发和分析代码重用攻击的payload。

360CERT
2019-11-15 10:15:54

2774次阅读

安全资讯

企业端安全如何防护？面对Coinbase交易所被攻破，值得所有安全厂商沉思

安全资讯

前段时间，数字货币交易中心Coinbase爆出被黑事件。攻击者以钓鱼邮件方式向Coinbase员工私人邮箱发送电子邮件，完成前期潜伏、渗透工作后；在某个时机，攻击者以两个 Firefox 0day 漏洞发动“猛攻”。

国际安全智库
2019-11-14 19:22:45

15025次阅读 3

活动

赠票福利 | CIS 2019网络安全创新大会11月27日上海开幕

网络安全从未像今天这样被重视，安全法规落地、安全技术进化、安全产品创新、安全意识普及……一个崭新的产业纪元已经到来！

安全客
2019-11-14 18:30:09

10039次阅读 1

活动

2019 KCTF总决赛 | 巅峰对决，谁与争锋！

看雪CTF（简称KCTF）是圈内知名度最高的技术竞技，从原CrackMe攻防大赛中发展而来，采取线上PK的方式，规则设置严格周全，题目涵盖Windows、Android、iOS、Pwn、智能设备、Web等众多领域。

看雪
2019-11-14 18:00:06

85777次阅读

活动

活动 | 最终议程！EISS-2019企业信息安全峰会之上海站

活动

上海

EISS

本次EISS-2019企业信息安全峰会确定于2019年11月22日在上海举行。我们诚邀多位业内安全大咖作为演讲嘉宾分享实战经验。

Grace FU
2019-11-14 17:30:23

29918次阅读 1

代码安全

【缺陷周话】第59期：重复加锁

代码安全

代码审计是使用静态分析发现源代码中安全缺陷的方法，能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题，防患于未然，已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

奇安信代码卫士
2019-11-14 17:15:56

37664次阅读

漏洞预警

Apache Shiro Padding Oracle导致远程代码执行漏洞预警

漏洞预警

2019年11月3日，360CERT监测到业内友商发布了Apach Shiro Padding Oracle导致远程代码执行的漏洞分析。经360CERT分析研判，判断该漏洞等级为严重，危害面/影响面广。

360CERT
2019-11-14 16:45:49

17855次阅读

漏洞分析

CVE-2019-11043 调试复现与分析

漏洞分析

PHP

CVE-2019-11043漏洞是PHP 7.x版本下FPM配合不恰当的Nginx配置可以导致RCE的一个漏洞，影响的具体版本如下：PHP 7.1版本小于7.1.33；PHP 7.2版本小于7.2.24；PHP 7.3版本小于7.3.11。

yunsle
2019-11-14 16:30:56

40352次阅读 2

漏洞分析

跟小黑学漏洞利用开发之SEH溢出

漏洞分析

exploit

书接上回，我们继续研究如何在Win32系统上利用缓冲区漏洞，完成我们新漏洞利用开发，主要是关于SEH漏洞利用问题。写到这里有些人想说对于SafeSEH和SEHOP绕过利用这个我们有机会在后续篇文章研究。

legend
2019-11-14 15:35:32

39614次阅读

代码审计

Java反序列化利用链分析之CommonsCollections5,6,7,9,10

代码审计

反序列化

Java

本文继续分析CommonsCollections:3.1的相关反序列化利用链，这次主要分析CommonsCollections5,6,7,9，以及我找的一个新利用链，这里暂且将其称为10.

wh1t3p1g
2019-11-14 14:30:54

37032次阅读

CTF

湖湘杯2019复赛Writeup

CTF

writeup

湖湘杯2019复赛writeup——Transformers。

郁离歌丶
2019-11-14 11:30:15

49223次阅读 2

DNS

煤矿中的金丝雀：使用DNS和AD检测枚举活动

DNS

枚举

在这篇文章中，我们将创建一些活动目录金丝雀来帮助我们检测遍历网络的威胁活动，我们会使用到HELK、SilkETW、DNS解析日志、Sysmon和一个假冒的SMB/SAMR服务器。

six
2019-11-14 10:30:39

稿费： + 180

42563次阅读 1

安全资讯

11月14日每日安全热点 - 关于供应量安全的改革

关于供应量安全的改革；TheD4RKr3ap3r's "如何加固邮件服务器2"；MITRE 加强关键基础设施建设；Lazarus组织10月份行动简析。

360CERT
2019-11-14 10:00:36

1786次阅读

招聘

招聘丨信安世纪招募渗透测试工程师、网络安全工程师

河南信安世纪科技有限公司成立于2003年，是一家专业从事网络信息安全技术研究及系统集成服务的高新技术企业，主要为政府、运营商、金融、教育等行业提供应用安全服务、解决方案、安全培训、安全运维服务。

平凡安好
2019-11-13 18:30:20

32781次阅读

活动

活动 | 2019京麒国际安全峰会即将开幕，一场极客的年度盛宴（文末含赠票福利）

活动

福利

京东安全峰会

今年，京东安全峰会，将升级为“2019京麒国际安全峰会”！并在北京的冬天，为各位带来一场极客的年度盛宴！2019京麒国际安全峰会——『捍卫信任』

京东安全应急响应中心
2019-11-13 18:00:23

18720次阅读 5

网络安全

活动 | 2019互联网安全城市巡回赛·北京站邀你来战！

随着互联网在我国的飞速发展，网络广泛的应用于各个生活场景。互联网应用一片繁荣的同时，与之相伴而来的网络安全问题却愈演愈烈。

i春秋
2019-11-13 17:30:59

15188次阅读

shiro

Shiro RCE again（Padding Oracle Attack）

shiro

Padding Oracle Attack

前一段时间Apache发了一个Shiro的漏洞通告RememberMe Padding Oracle Vulnerability，原因是Shiro使用了AES-128-CBC模式对cookie进行加密，导致恶意用户可以通过padding oracle攻击方式构造序列化数据进行反序列化攻击。

奇安信观星实验室
2019-11-13 15:29:08

145609次阅读 1

Windows

微软补丁日：脚本引擎/Hyper-V/Exchange 远程代码执行漏洞预警

Windows

漏洞预警

系统安全

2019年11月12日，微软例行发布了11月份的安全更新。此次安全更新主要涵盖了Windows操作系统、IE/Edge浏览器、脚本引擎/ChakraCore、Office套件、Exchange 服务、Visual Studio。

360CERT
2019-11-13 14:44:06

26991次阅读

edge

CVE-2019-1356：Edge浏览器LFD及EoP漏洞分析

在本文中，我将与大家分享Edge（EdgeHTML）浏览器的几个bug，将这些bug结合起来后，可以实现两种不同的攻击效果：LDF（本地文件包含）及EoP（权限提升），后者可以用来修改about:flags中的任何具体设置。

興趣使然的小胃
2019-11-13 14:30:49

稿费： + 190

63851次阅读

时讯

Hakbit勒索病毒突袭国内，奇安信首发解密工具

10月勒索病毒组团大战，“顶流家族”GlobeImposter重回榜首

从国际攻防对抗视角，重塑漏洞平台的价值

人物

老周话安全 | 360政企安全战略升级，打造大安全生态(三)

老周话安全 | 应对大安全时代网络威胁，看见是1，其它是0（二）

老周话安全 | APT攻击是“大安全”时代最大的威胁（一）

产品

业界首个开源域安全入侵感知系统——360WatchAD

对接 xray 和微信实现自动告警

KCon 2019 | 威胁狩猎告别"刻舟求剑"——物联网资产变化研究

安全早知道

最新专题

2019-10-28 13:54:12

安全客2019季刊第三季 | 政企安全漏洞运营与管理

2019-10-17 20:36:21

360杯网络安全职业技能大赛

2019-09-23 20:41:18

工控安全入门

活动赛事

最新漏洞

Red Hat CloudForms 安全漏洞

Linux kernel 代码问题漏洞

多款奇虎科技产品命令注入漏洞

Sudo 安全漏洞

Mozilla Network Security Services 安全漏洞

推荐作者

安全早知道

最新专题

2019-10-28 13:54:12

安全客2019季刊第三季 | 政企安全 漏洞运营与管理

2019-10-17 20:36:21

360杯网络安全职业技能大赛

2019-09-23 20:41:18

工控安全入门

活动赛事

最新漏洞

Red Hat CloudForms 安全漏洞

Linux kernel 代码问题漏洞

多款奇虎科技产品命令注入漏洞

Sudo 安全漏洞

Mozilla Network Security Services 安全漏洞

推荐作者

安全客2019季刊第三季 | 政企安全漏洞运营与管理