2018-10-20 03:30:58 289527 0

Oracle7月份发布关键补丁更新之后，我在当月随后陆续提交了一些weblogic的不同类型漏洞，本次的补丁修复了我报送的6个漏洞，本文针对这次补丁修复的其他两个漏洞进行简单分析。

2018-10-19 17:55:43 138355 1

本文受 CVE-2018-8495 漏洞的启发，以学习的目的，针对 PC 端 url scheme 的安全问题进行了分析研究。

2018-10-19 17:18:31 142076 0

Github是互联网从业者钟爱的技jiao术you社区，里面也聚集了大量的安全爱好者。而就在前几日，Github发布了2018年度的统计报告，来一起看看今年都有哪些变化吧~

2018-10-20 10:00:50 165762 1

在补丁日微软发布了IE的更新，以解决CVE-2018-8460漏洞。该漏洞影响所有Win版本中的IE 11，属于微软描述的通用“内存损坏”类别漏洞，但实际上是源于CSS机制的Double-Free漏洞，最终导致允许远程代码执行。

2018-10-19 14:07:26 160077 5

由信息泄露事件引发的矛盾一步步将企业推入信任危机的漩涡，而对于被泄露的信息来说，这个故事才刚刚开始。

2018-10-19 16:30:11 143830 3

近日，在BlackHat 2018大会上公布了一种针对PHP应用程序的全新攻击技术。利用phar文件会以序列化的形式存储用户自定义的meta-data这一特性，拓展了php反序列化漏洞的攻击面。

2018-10-19 10:37:03 127133 3

Drupal于17日发布安全更新SA-CORE-2018-006，修复了5个安全漏洞，其中2个为RCE漏洞。该补丁适用版本为7.x与8.x。其中两个高危漏洞均为RCE漏洞。

2018-10-19 11:00:03 264383 0

北京时间10月17日，Oracle官方发布的10月关键补丁更新CPU（Critical Patch Update）中修复了一个高危的WebLogic远程代码执行漏洞（CVE-2018-3191）。

2018-10-19 09:50:04 169244 0

Web应用程序上的客户端注入；VestaCP在供应链攻击中受到攻击；Apache Access漏洞可能会影响数以千计的应用程序。

2018-10-19 14:55:14 131367 1

VestaCP是一个托管服务控制面板解决方案，最近几个月内，VestaCP的许多用户收到了服务商的警告，表明他们服务器的带宽使用量出现异常。现在我们知道这些服务器实际上被攻击者用来发起DDoS攻击。

2018-10-18 14:20:41 1160890 9

近期360代码卫士团队安全研究员发现Oracle公司旗下产品Oracle WebLogic Server的多个高危安全漏洞（CVE-2018-3245、CVE-2018-3248、CVE-2018-3249、CVE-2018-3252），并第一时间向Oracle公司报告协助其修复漏洞。

2018-10-18 10:00:59 204482 3

2018-10-16 libssh发布更新公告旨在解决CVE-2018-10933的问题

2018-10-18 09:50:27 91892 2

GandCrab Devs为叙利亚受害者释放解密钥匙；第三方供应商遭攻击，五角大楼泄露3万雇员和服务人员信息。

2018-10-18 16:30:36 90513 0

在本文中，我们将深入研究该缺陷在Windows上的利用过程，介绍Java Usage Tracker的工作原理，给出了利用该漏洞所需满足的条件。

2018-10-19 10:00:35 126304 2

几年前，我参与了一系列企业欺骗方案的开发和测试（从红队视角出发），大概持续几个月时间。2018年年初，在一次活动目录课程中，有个学生向我咨询，希望我能测试他们正在评估的3种欺骗产品。

2018-10-22 11:30:08 193657 3

这学期上了计算机网络，但是学过了其中的浅浅知识，有点无聊，正好看到IEEE 802.11，加上最近护网杯出了一题与无线AP流量包的分析题目，赛终依旧0解。遂自行学习一波知识，从原理入手，动手实验，归纳一番。

2018-10-17 17:33:39 195687 7

随着移动通信网络的发展和智能手机的普及，手机逐渐取代PC成为人们日常计算和通信的主要工具，从早期的GSM网络开始，就出现了一些针对手机或者是通信网络的安全研究及实际攻击案例。

2018-10-18 10:00:19 96808 5

2018年10月中旬，白帽汇安全研究院监测到网络上出现了Teltonika路由器远程命令执行漏洞。该漏洞是由于RUT9XX路由器设备中某些文件存在接受外部输入的参数。

2018-10-17 10:00:19 95886 2

TLS 1.0和TLS 1.1将在2020年被各大主流浏览器淘汰；0day、无文件攻击现如今已成为各大企业最大的安全威胁。

2018-10-23 11:00:17 13302800 105

10月23日，安全客2018季刊—第3季再度上线，我们对文章的质量严格把关，对品质始终恪守不渝，只愿为安全爱好者带来最好的干货！从10月23日的11点到10月25日的18点，我们还放送出了1200+份定制好礼，赶紧下载季刊，尽情阅览吧！

2018-10-16 21:00:54 218076 3

libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。攻击者可以在没有任何凭据的情况下成功进行身份验证。 进而可以进行一些恶意操作。

2018-10-20 09:30:56 281010 4

总结了一下在ctf里经常遇到的命令执行和代码执行的利用点。

2018-10-21 10:00:56 209343 14

护网杯结束也有一段时间了（被虐惨了。。），各位大佬战队的WP也相继出炉，不过部分题目的WP不够详细，对于刚入门的萌新来说可能会有点难看懂。今天有空就来写下pwn题calendar的wp，也刚好做个笔记吧(轻喷)。

2018-10-12 18:30:27 72439 2

2018年10月9日，US-CERT发布了一个安全通告，涉及杭州雄迈科技有限公司XMeye P2P云服务器存在硬编码内置账号问题，相应的漏洞编号为CVE-2018-17919。

2018-10-17 14:30:30 105093 2

思科Talos团队最近发现了一款新的恶意软件，该软件会释放名为“Agent Tesla”的信息窃取木马以及另一款恶意软件Loki（这也是款信息窃取木马）。

2018-10-16 20:02:45 129175 2

2018年10月12日，白帽汇安全研究院监测到网络上出现了最新雄迈云XMeye P2P云服务器出现内置硬编码账户漏洞。

2018-10-17 11:30:17 109376 0

在过去的两年中，我们持续在监测一个针对中亚用户和外交实体的网络间谍活动，该活动使用的语言为俄文。我们将这一恶意活动背后的组织命名为DustSquad。

2018-10-16 15:08:03 393497 9

每逢节假日，各种木马病毒都习惯性蹭热点刷存在感。在临近国庆假期之际，360核心安全监测到木马病毒的传播又活跃起来了，有款远控木马试图借用 “网易”官方签名躲避查杀大肆传播。

2018-10-16 16:21:52 120124 0

EOS 的合约可以通过 require_recipient 触发调用其他合约，设计这样的机制给合约的开发者提供了很大的便利性， 但是也带了新的问题。

2018-10-16 14:37:20 111771 1

上周二，发出了文章后，收到了不少小伙伴的反馈，很多问题点上进行了进一步的探讨，还有拿具体漏洞来一起进一步解读DREAD模型的应用的。根据一周的收集，挑选了一些意见建议，并且反馈如下。