利用 EXCEL 檔案進行 XXE 攻擊的漏洞分析
最近在閱讀安全類文章時看到有同學分享如何利用excel進行XXE攻擊,閱讀後發現一些模糊的利用方式。由於漏洞場景非常常見,讓我十分感興趣,並決定一探究竟。注意本文驗證僅用於學習與研究,請勿非法利用。 背景知
最近在閱讀安全類文章時看到有同學分享如何利用excel進行XXE攻擊,閱讀後發現一些模糊的利用方式。由於漏洞場景非常常見,讓我十分感興趣,並決定一探究竟。注意本文驗證僅用於學習與研究,請勿非法利用。 背景知
美國DARPA“配置安全”專案分析 作者:齊義勝 2017年11月,美國防部高階研究計劃局(DARPA)資訊創新辦公室(I2O)釋出“配置安全”(Configuration Security, ConS
這兩天關於以太坊延遲君士坦丁堡升級的報導鋪天蓋地,可惜到現在都沒看到一篇能把這個漏洞講透徹的,就由我來給大家解密吧。 上一篇文章給大家介紹過EIP 1283,是為了優化SSTORE指令的gas計算方式的,這
一、前言 Fortnite(堡壘之夜)是Epic Games遊戲開發商製作的一款大型流行遊戲,在虛擬世界中,Fortnite玩家的任務就是通過各種工具和武器保證自己安全,力爭成為最後一個存活的單位
2019年1月9日,Imperva釋出報告,顯示2018年Web應用漏洞狀況並不太好,共報告了 17,142 個漏洞。 2018年記錄的Web應用漏洞比上年增長21%。Web應用漏洞型別多樣,
根據網上釋出關於thinkphp 5.x遠端程式碼執行漏洞預警,分析漏洞發生點,對比官方git更新版本,對照發現更新為request類,如下圖所示: 觀察發生更改的點為pathinfo()、method()
毫無疑問,IoT 會繼續增長。 萬物互聯已經取得了巨大進步,從零售到醫療、從可穿戴裝置到智慧汽車,IoT 正在影響所有行業。一項調查預估到 2018 年末,全球會有 200 億個聯網裝置。 然
寫在前面的話 在資訊保安領域中,“無檔案攻擊”屬於一種影響力非常大的安全威脅。攻擊者在利用這種技術實施攻擊時,不會在目標主機的磁碟上寫入任何的惡意檔案,因此而得名“無檔案攻擊”。然而,為了更好地應對“無檔案
1.OpIcarus 2018 2018年12月11日,疑似匿名者(Anonymous)組織成員Lorian Synaro在推特上號召發起針對全球中央銀行網站的攻擊行動OpIcarus 2018或OpIca
摘要: GitLab 推出公開漏洞獎勵計劃,最高賞金1.2萬美元本週,開源的 Git 倉庫管理系統 GitLab 宣佈推出公開的漏洞獎勵計劃。研究人員如在產品和服務中發現嚴重漏洞,最高可獲得1.2萬美元的獎勵
0x00 介紹 postMessage是html5新增的一個解決跨域的方法,主要解決不同源的指令碼採用非同步方式進行有限的通訊,可以實現跨文字檔、多視窗、跨域訊息傳遞,多用於頁面與巢狀的iframe訊息傳遞
0x00 概述 近日,thinkphp釋出了安全更新,修復一個可getshell的rce漏洞。 0x01 影響範圍 5.x < 5.1.31 5.x <= 5.0.23
近半年的時間精心籌備,只為了不辜負大家的期待。如果說去年我們做的還不夠好,那今年FIT 2019從開場、議題質量、Hack Demo展示等環節,到場外趣味設施、廠商展臺安排,一定能夠給各位一個滿意的答覆。
0x01 Start 2018.12.10晚上,看到有人發tp5命令執行,第一眼看到poc大致猜到什麼原因,後來看到鬥魚src公眾號的分析文章。這裡分析記錄一下。 0x02 簡單分析 tp的框架啟動
大家好,今天我要分享的是一個影響20多個Uber子域名的XSS漏洞,該漏洞存在於uberinternal.com身份驗證時向uber.onelogin.com的跳轉過程中,漏洞最終獲得了Uber官