通過程式碼審計找出網站中的XSS漏洞實戰(三)
一、背景 筆者此前錄製了一套XSS的視訊教程,在漏洞案例一節中講解手工挖掘、工具挖掘、程式碼審計三部分內容,準備將內容用文章的形式再次寫一此,前兩篇已經寫完,內容有一些關聯性,其中手工XSS挖掘篇地址為
一、背景 筆者此前錄製了一套XSS的視訊教程,在漏洞案例一節中講解手工挖掘、工具挖掘、程式碼審計三部分內容,準備將內容用文章的形式再次寫一此,前兩篇已經寫完,內容有一些關聯性,其中手工XSS挖掘篇地址為
摘要: 索尼BRAVIA智慧電視機曝多個安全漏洞,無需賬號密碼即可實施攻擊據統計,目前全球聯網的智慧電視機估計已達到7.6億臺。和大多數物聯網裝置一樣,智慧電視機也包含始終線上且高效能的圖形處理器(GPU),
如果你對尋找bug的過程不感興趣,或者是“太長不看”那種,那麼 ATREDIS-2018-0004 是個不錯的選擇,而且 這裡還有一個概念性證明(PoC) 。 Process Monitor 已經
GitHub是面向全球開發人員的首選程式碼共享和託管服務。雖然歐盟尚未最終確定該交易,但該公司在6月被微軟收購,作價75億美元。 今天,GitHub宣佈了他們系統中的一個漏洞,允許任意程式碼執行的安
介紹 這個漏洞雖然不能生成有效使用者名稱列表,但是它可以允許攻擊者猜測使用者名稱。目前這個OpenSSH使用者列舉漏洞( CVE-2018-15473 )的詳細資訊已經上傳至了GitHub,感興
一、近期部分與數字貨幣交易平臺相關的安全事件 近期,數字貨幣交易所安全事件頻發。2018年01月日本Coincheck交易所受到黑客攻擊被盜取NEM新經幣損失約5.34億美元;2018年02月基於以太坊
面對日益嚴峻的網路安全形勢,分析對工業控制系統開展模糊測試的意義,研究網路協議模糊測試的理論基礎,設計一種模糊測試框架,根據框架對廣泛應用的工控裝置進行安全性測試,發現 潛在安全風險,以便及時採取風險應對措施,
背景 目前,阿里雲態勢感知與日誌服務打通,對外開放平臺依賴或者產生的日誌,包括網路、主機、安全三大類共14種子類日誌。提供近實時的日誌自動採集儲存、並提供基於日誌服務的查詢分析、報表報警、下
Intel ME製造模式漏洞曝光俄羅斯廠商Positive Technologies的安全研究人員 公開了藉助Intel ME的製造模式 ( 俄文版本 )實現 INTEL-SA-00086的 漏洞利
*本文作者:Tasfa,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。 前言 最近FB Android應用爆出了一個任意JS程式碼執行的漏洞,著手分析了一下,也挺有趣,分享學習一下,有不當
一、背景介紹 ThinkPHP 是一個快速、簡單的基於 MVC 和麵向物件的輕量級 PHP 開發框架,遵循 Apache2 開源協議釋出。ThinkPHP從誕生以來一直秉承簡潔實用的設計原則,在保持出色的效
一、事件基本情況 近日,Rockwell(羅克韋爾自動化有限公司)和ICS-CERT釋出通報稱, Rockwell的RSLinx Classic軟體存在三個高危漏洞(CVE-2018-14829、CVE-2
概述 自核心版本3.16以來,Linux記憶體管理中存在一個快取失效漏洞(CVE-2018-17182),本文是對該漏洞的分析。儘管這一漏洞所在的程式碼可以被比較強大的沙盒上下文所訪問,但在本文中我們介紹了
前言 經過THE DAO事件、幣安被盜事件,智慧合約的安全性越來越受到業內關注。本文根據獵豹區塊鏈安全專家楊文玉9月5日在星球日報P.O.D大會上的分享錄音整理而成,淺析當前智慧合約的發展現狀,以及智慧合約
各位Buffer早上好,今天是2018年9月30日星期日,農曆八月二十一。今天的早餐鋪內容有:Facebook披露了影響5000萬用戶帳戶的網路漏洞;第一個規模利用的 UEFI 惡意韌體 rootkit 曝光;