桃園抓漏
我是如何繞過Uber的CSP防禦成功XSS的?
大家好!在開始正式的內容之前,請允許我做個簡單的自我介紹。首先,我要說明的是我不是什麼安全研究人員/安全工程師,確切的來說我是一名安全的愛好者,這始於兩年前的Uber。我喜歡接觸新的事物,並且每天都在努力提高自
同樣的技術,為何別人總是能挖到漏洞 ?
常聽前輩講:如今學生, 才學1分,便覺知3分。 才學3分,便覺知7分。 若能達7分,方知才1分。 菜鳥和高手的區別,不完全在於你學了多少,更看你能否清晰認知到目前所處階段,正確迸發出對下一階段知
美國國土安全部報告:警惕針對精細農業的威脅
近日,美國國土安全部(DHS)釋出了一份報告稱,由於精細農業需要依賴多種嵌入式和聯網技術來改善農業和畜牧業管理,因此易受多種漏洞和網路威脅的影響。 如今,精細農業技術的使用率正在大幅增長,其在便
GeekPwn2018:聚焦AI安全,揭祕全球前沿智慧生活安全議題
智慧生活讓一部分人先看到未來的同時,也帶來了令人不安的安全隱患:隨AI技術發展誕生的自動駕駛汽車出現識別錯誤導致車禍;使用者雲端和終端資料被盜取;不法之徒利用漏洞破解網路攝像頭、路由器等智慧家居裝置獲取隱私等等……諸
Apache Commons Fileupload 反序列化漏洞分析
前幾天剛剛分析了Apache Commons FileUpload的Dos的漏洞,無意間發現了還存在反序列化的漏洞。網上只存在 cve-2016-1000031 Apache Commons FileUplo
Discuz 排行頁面儲存型XSS漏洞 分析
2018年10月12日,某CMS官方修復了一處XSS漏洞: 簡要分析 source/module/misc/misc_ranklist.php:166 <?php functio
基於DOM的XSS漏洞使Vinder,Shopify,Western Union和Imgur的6.85億使用者面臨風險
來自VPNMentor的安全研究人員檢測到多個客戶端漏洞,允許黑客訪問使用者的個人資料和詳細資訊。 基於DOM的XSS也稱為0型XSS,此漏洞允許攻擊者製作惡意URL,如果其他使用者訪問了URL,
移動安全自動化測試框架MobSF多個版本靜態分析介面存在的任意檔案寫入漏洞復現與分析
*本文原創作者:ForrestX386,本文屬於FreeBuf原創獎勵計劃,未經允許禁止轉載 0×00. 引言 MobSF 一款智慧化、一體化的開源移動應用(Android / iOS/Wi
【10.13】Bug Bounty Write-up 總結
今天慣例郵箱收到了Twitter的郵件提醒有新的post,這種郵件每天都能收到幾封,正好看到一個Bug Bounty的write up,比較感興趣,看起來也在我的理解範圍之內,這裡對這篇write up和另一篇
iOS 12 安全更新 | 一個月內安裝率超 50%,越獄和漏洞一個也沒少
九月份,蘋果釋出了新品手機 iPhone XS,同時也釋出了 iOS 12 更新。此後,新版 iOS 系統的安裝率逐漸走高。根據市場調研機構 Mixpanel 的最新統計,截止 10 月 6 日 iOS 12
安全小課堂第113期【二次注入漏洞挖掘】
Web應用程式已經從上世紀簡單的指令碼演變成了如今的單頁應用。然而,隨著Web應用程式的不斷複雜化不同型別的安全漏洞也隨之而來。其中有一種被稱之為二次注入的漏洞,該漏洞是一種在Web應用程式中廣泛存在的安全漏洞
成都鏈安漏洞分析連載第十一期 :留心合約中“你的名字”—— 繼承變數覆蓋及建構函式失配
針對區塊鏈安全問題,成都鏈安科技團隊每一週都將出智慧合約安全漏洞解析連載,希望能幫助程式員寫出更加安全牢固的合約,防患於未然。 引子: 《易》曰:‘君子慎始,差若毫釐,繆以千里。’ – 《禮記·經解》
【安全幫】安全性太差!中國一物聯網公司遭SEC點名批評!
摘要: 蘋果賬號遭集體盜刷 快關掉這個功能近日有不少蘋果手機使用者反映ID賬號被盜,繫結的相應支付平臺被自動扣款,導致資金損失。有被盜使用者曾就此向蘋果中國公司提出退款要求,結果被告知“系統稽核通過不了”無法
BUF早餐鋪 | 900萬臺國產視訊監控裝置被指存在漏洞;Gallmaker網路犯罪集團崛起;關於微軟多個安全...
各位 Buffer 早上好,今天是2018 年 10 月 12日星期五,農曆九月初四。今天的早餐鋪內容有:900萬臺杭州雄邁科技生產的視訊監控裝置被曝DVR漏洞;Gallmaker網路犯罪集團崛起,主要物件為東