Google Chrome API 会泄露浏览状态;不要使用8字符以下的windows NTLM 密码;揭开Emotet,Qbot和Dridex的神秘面纱;yara hunter规则分享。
位于深圳的深网视界科技有限公司SenseNet发生大规模数据泄露事件,超过250万人的数据可被获取,680万条记录泄露,其中包括身份证信息,人脸识别图像及捕捉地点等。
新人学生提交第一个参赛有效漏洞/情报,前50名同学将获得200元天猫超市享淘卡,或者报销寒假往返学校的火车票/机票,最高报销500元。一定要在漏洞标题写参赛。
招聘
中国企业级网络安全市场的领军者,是专注于为政府和企业提供新一代网络安全产品和服务的综合型集团公司。
此次病毒多次使用隐藏技术,反复转移文件,以及使用Hook技术对抗分析。但是美中不足的是,释放样本的时候没有加密资源,直接获得了payload。
看似一些正常功能的函数在某些特殊情况下恰好能够为埋下漏洞的隐患,而字符串格式化刚好就是一个这样的例子。
近期继续匍匐在堆漏洞的学习路途上,接触了unsorted bin attack、fastbin attack、off by one三个漏洞,不过最终还是在off by one的学习上晚了一步,导致lctf easy_heap没能攻克下来:主要原因就是因为对堆块重用机制和size字段对齐处理一无所知。这篇文章将进行简单介绍。
本报告由威胁猎人鬼谷实验室独家编写与发布,报告中所涉及的数据取自威胁猎人TH-Karma业务情报监测平台和互联网公开数据。受限于数据来源、取样方式以及分析方法等因素,本报告中的相关内容与实际情况之间可能存在一定的误差。
本文将讨论一个案例研究:识别并利用一种服务器端请求伪造(SSRF)漏洞来访问敏感数据(例如源代码)。
Docker安全漏洞揭露:CVE-2019-5736缓解措施;无需密码可远程劫持电动滑板车;CVE-2019-0539根本原因分析;LNK & ISESteroids Powershell dropper分析;MatrixSSL栈缓冲区溢出。
近期,360威胁情报中心捕获到一个专门为阿拉伯语使用者设计的诱饵文档。钓鱼文档为携带恶意宏的Office Word文档,恶意宏代码最终会释放并执行一个Enigma Virtual Box打包的后门程序。
招聘
补天的职责在于更好的消除漏洞隐患,更好的保护企业安全,是一个公正的、中立的第三方非盈利平台,社会服务产品,旨在集聚民间优秀白帽子的力量,为企业网络安全提供实时的、高效的安全助力。
笔者在学习了部分研究报告和调试了部分PoC后,决定对2018年VBScript的漏洞做个简单的归类总结,与大家分享,希望对关于VBScript的漏洞挖掘和分析有所帮助。但水平有限,文中错误之处恳请斧正。
招聘
百度云是百度基于多年技术积累推出的云计算产品,具有安全,稳定,高性能,高可扩展性的特点。目前已为客户提供虚拟化与网络、存储与数据库、安全与管理、物联网、大数据分析、人工智能等多类云产品。
2019年2月13日,Chris Moberly公开了利用snap包管理工具的服务进程snapd中提供的REST API服务因对请求客户端身份鉴别存在问题从而提权的 漏洞细节。
题目还是比较有难度和借鉴意义的,可以开拓师傅的思路,大佬勿喷。
过年前做了一下,感觉还是挺有意思的。比赛官方也开源了比赛源码。
XXE或XML外部实体是2017 OWASP Top10漏洞列表中的新问题。这是基于来自安全问题数据库的直接数据证据而引入的唯一的一个新问题。
该漏洞表面上是一个放大5倍udp反射DDOS漏洞,但其对ETH的P2P网络的影响是非常大的,该漏洞可导致ETH的发现节点池不断的被堆满,导致正常节点无法加入,同时可屏蔽被攻击节点无法探索到任意子网的节点。
2019年1月,我在默认安装的Ubuntu系统中找到了一个权限提升漏洞。漏洞位于snapd API中,这是系统默认安装的一个服务。本地用户可以利用该漏洞获得系统的root访问权限。