Blackhat

BlackHat上安全研究员Sam分享了议题It’s a PHP unserialization vulnerability Jim, but not as we know it,利用phar文件会以序列化的形式存储用户自定义的meta-data这一特性,拓展了反序列化漏洞攻击面。本文便介绍了这种攻击手法。
在Blackhat2018,来自Secarma的安全研究员Sam Thomas讲述了一种攻击PHP应用的新方式,利用这种方法可以在不使用unserialize()函数的情况下触发PHP反序列化漏洞。
在今年的Black Hat USA Arsenal 和 DEFCON 26中,滴滴出行安全产品与技术部的王宇受邀参加Black Hat USA Arsenal和DEFCON 26。
上周,在美国的BlackHat会议上宣布了一种针对PHP应用程序的新漏洞利用方式。你可以在这篇文章中了解到它。
360 独角兽安全团队的 Zhenzuan Bai, Yuwei Zheng 等分享了议题《Your May Have Paid More than You Imagine:Replay Attacks on Ethereum Smart Contracts》,慢雾安全团队整理了这篇文章供大家交流参考。
攻击者会使用例如Cutlet Maker或者其他未公开的工具来将电脑接入ATM机上并在不留下系统记录的情况下盗取现金。这也证实了安全界长期持有的观点——没有牢不可破的系统,只有还没被充分测试的系统。
该议题将以Mobile Pwn2Own 2017基带项目中使用的0day漏洞为例,阐述腾讯安全科恩实验室发现并利用该漏洞实现远程代码执行的过程和细节。
近年来,Google在减少攻击面和漏洞利用缓解方面做出了很多努力,以加强Android系统的安全性。远程攻破Android手机,尤其是Google的Pixel手机变得越来越困难。这篇文章主要讲,我们是如何攻破pixel手机的。
故事始于一个域名collaborate-corp.amazon.com,它貌似是一个内部协作系统。 从网页下面的copyright来看,这个系统是用开源项目Nuxeo构建的。 它是一个非常庞大的Java项目,起初我就想提高一下Java审计技能。
最近刚在美国举办的BlackHat黑客大会。来自柏林大学的Altaf Shaik发表了针对LTE SON自组网的攻击,此前在6月13日GSMA名人堂已经发布了该漏洞。360无线电安全研究院独角兽团队第一时间对该议题进行解读。