置顶
1月15日,安全客2018季刊—第4季再度上线,我们对文章的质量严格把关,对品质始终恪守不渝,只愿为安全爱好者带来最好的干货!从1月15日的11点到1月17日的18点,我们还放送出了1300+份定制好礼,赶紧下载季刊阅览吧!
近期,360企业安全集团代码卫士团队安全研究人员发现 Oracle 公司旗下产品 Oracle WebLogic Server 的多个安全漏洞(CVE-2019-2398,CVE-2019-2452),并多次第一时间向Oracle公司报告,协助其修复漏洞。
最近拿到一个新的HWP样本,样本本身利用的是一个老漏洞,这个样本吸引我们的是shellcode部分。相关漏洞的细节我们在之前的文章中已有描述。需要注意的是,这次的样本和上次的样本在最终的执行流切换方面有一些差异。
我想通过本次研究来回答一个长期以来萦绕在我脑海中的问题:到底Marvell WiFi FullMAC SoC(system-on-chip系统芯片)在多大程度上是安全的。
任意文件删除的作用其实很大,危害也很大,比如可以重装系统,然后写入配置getshell等,任意文件读取可以导致ssrf,泄漏config文件等等。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
在最近一次内部渗透过程中,我遇到了某款EDR(端点检测与响应)产品。这款产品可以保护lsass的内存空间,导致我无法使用Mmimikatz来导出明文凭据。
大厂也难逃GDPR,谷歌、亚马逊再遭投诉;腾讯《无限法则》疑似收集用户 $$ 配置信息,游戏隐私问题引争议;拼多多被羊毛党薅过之后的翻身仗;Kutaki恶意软件绕过网关窃取用户凭证。
CCSK认证课程的目的是确保与云计算相关的从业人员对云安全威胁和云安全最佳实践有一个全面的了解和广泛的认知。
我们近期在回顾一些网络异常时,发现了使用DNS隧道与C2进行通讯的攻击组织并将其命名为”Cold River”,我们已经能解密受害者与C2的通信流量,并发现了攻击者使用的复杂诱饵文档。
​ 为了文章的续集,我在准备考试之余,按耐不住跑去继续读了下Ectouch,我感觉自己写文章有时候真的挺多废话的,so let us focus on analysis。今天讲下如何我是如何挖掘xss的。
本文我将以实例说明,假设我是一名恶意热点搭建者,面对这些打算使用VPN进行保护的用户,我可以从哪些方面对他们造成威胁。
先前我们只讨论了如何手动查找这类委派,大家可以阅读另一篇文章,了解其他一些工具在手动分析中的应用。在本文中,我们将介绍如何利用脚本,以(半)自动化的方式在网络中搜索这类委派。
让我们一起看一看日益脆弱的软件供应链;如何以更实际的方式推进零信任框架落地;一句话获取反向shell;俄罗斯黑客Alexander Zhukov被保加利亚引渡到美国。
1月20日,今天从晨间开始拼多多出现大Bug,用户可随意领取100元无门槛优惠券,目前拼多多或损失超千万。
Fallout Exploit Kit增加了新的exp和payload;2018年Windows服务器挖矿木马总结报告;云上挖矿大数据:黑客最钟爱门罗币;chrome XSS漏洞。
在被期末预习虐得半死的时候看到35c3的消息就去稍微看看题,结果又被非libc虐哭,在被虐哭后看到还有Junior赛就过去把Junior的pwn题悄咪咪的写了几题。
Powershell混淆研究;ES文件浏览器漏洞导致一亿用户的数据面临风险;Microsoft Windows“.contact”代码执行风险;私钥泄露的故事。
招聘
陌陌是一款基于地理位置的开放式移动视频社交应用,是目前中国最大的泛社交泛娱乐平台。在陌陌,你可以通过视频、文字、语音、图片来展示自己,建立真实、有效、健康的社交关系。
招聘
百度云是百度基于多年技术积累推出的云计算产品,具有安全,稳定,高性能,高可扩展性的特点。目前已为客户提供虚拟化与网络、存储与数据库、安全与管理、物联网、大数据分析、人工智能等多类云产品。
Check Point Research发现了Epic Game在线平台上的多个漏洞,攻击者可以借助这些漏洞控制任何玩家的账户,浏览玩家个人账户信息、购买V-Bucks和Fortnite游戏内虚拟货币、窃听并记录玩家在游戏内的聊天信息及隐私对话。