首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 Google发布SSLv3漏洞简要分析报告 xia0k2014-10-15+7共287364人围观 ，发现 17 个不明物体安全报告漏洞 今天上午，Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法，该漏洞贯穿于所有的SSLv3版本中，利用该漏洞，黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0)，便可以成功获取到传输数据(例如cookies)。截止到发文前，还没有任何补丁放出来。 对…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 惠普打印软件JetDirect漏洞致多款网络打印机受威胁（附分析） cs242013-01-29共180359人围观 ，发现 5 个不明物体系统安全 本月中，西班牙研究人员Guerrero研究发现惠普打印软件JetDirect存在漏洞，使攻击者可以绕过生物或刷卡的安全保护，访问部分打印文档，或通告网络对存在漏洞的网络打印机造成拒绝服务攻击。 JetDirect虽然是惠普设计的，但是众多打印机都使用该软件，包括Canon、Lexmark、Sam…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 这个网站可以帮你雇佣黑客：第一家提供“黑客服务”的网站Hacker’s List dawner2015-01-20+6共1475607人围观 ，发现 129 个不明物体资讯 你曾想过要黑掉某个人的网站、QQ、微博账户麽？直接破坏他使用的网络如何？想想就有点小激动呢！等等，自己不会黑客技术咋办？黑客技术不知道哪家强怎么办？现在这里就有个机会，可以让你雇佣到职业的黑客，帮你实现“梦想”。 黑客中介：Hacker’s List 某个名为Hacker…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 新手指南：如何使用c118+osmocombb进行短信嗅探实验？ diulei2016-06-28+10共677145人围观 ，发现 46 个不明物体工具新手科普 这项技术已经出来很久了，网上各类大神的文字教程也很多，但是对于新手在编译过程中总有许多的问题，所以我把整个安装过程及可能出现的问题和解决方法写出来。 环境： 我用的是ubuntu12.04-i386（其实kali也可以） 一：更新系统 右上角进入软件更新，修改更新源（当然也可以命令…

作者： yaoxi 原文出处 http://blog.wangzhan.360.cn/ 近日，OpenSSL爆出本年度最严重的安全漏洞，此漏洞在黑客社区中被命名为“心脏出血”漏洞。360网站卫士安全团队对该漏洞分析发现，该漏洞不仅是涉及到https开头的网址，还包含间接使用了OpenSSL代码的产品和服务，比如，VPN、邮件系统、FTP工具等产品和服务，甚至可能会涉及到其他一些安全设施的源代码。 受影响版本 OpenSSL1.0.1、1.0.1a 、1.0.1b 、1.0.1c 、1.0.1d 、1.0.1e、1.…

Bash远程解析命令执行漏洞测试方法 wivndf2014-09-26+10共618786人围观 ，发现 22 个不明物体WEB安全漏洞 从昨天开始，这个从澳大利亚远渡重洋而来的BASH远程命令执行漏洞就沸腾了整个FreeBuf，大家都在谈论，“互联网的心脏又出血了”，可是，亲，到底怎么对网站进行测试？下面这段脚本 $ env x=‘() { :;}; echo vulnerable'  bash -c "echo this is a test" 真的如各路大神们说的这样吗？ 它与“心脏出血”漏洞…

全球十大必去的黑客大会 fber2015-08-04+8共211962人围观 ，发现 14 个不明物体头条资讯 DEF CON概述 由绰号为“Dark Tangent（黑暗切线）”的黑客Jeff Moss创办，是世界上最知名的“黑客大会”。 DEF CON每年在美国内华达州的拉斯维加斯举行，第一届DEF CON在1993年6月举办，因此它也是最古老的网络安全会议之一。 DEF CON名称源自军事上的“战备状态（Defense Condition）”的缩写，作为一个会议的名称，“Con”也可解读为“Conferenc…

渗透测试工具实战技巧合集 xiaix2016-06-02+10共2264400人围观 ，发现 71 个不明物体WEB安全工具 本文为作者总结自己在渗透测试中常用的一些小技巧。原文分为两部分，译者将其合二为一，方便大家查阅。 最好的 NMAP 扫描策略 # 适用所有大小网络最好的 nmap 扫描策略 # 主机发现，生成存活主机列表 $ nmap -sn -T4 -oG Discovery.gnmap 192.168.56.0/24 $ grep "Status: Up" Discovery.gnmap | cut -…

破壳（ShellShock）漏洞样本分析报告 金山毒霸2014-09-30共210829人围观 ，发现 14 个不明物体安全报告系统安全 一.漏洞事件介绍 1.漏洞信息 ●发布时间:2014-09-25　14时48分04秒 ●CVE ID:CVE-2014-6271 ●受影响版本: 2.漏洞概述 Bash(GNU Bourne-Again Shell)是大多数Linux系统以及Mac OS X v10.4默认的shell，它能运行于大多数Unix风格的操作系统之上，甚至被移植到了Microsoft Windows上…

安全科普：局域网攻击的常见方法 xiaoqin002015-08-12共925588人围观 ，发现 38 个不明物体网络安全 免责声明：本站提供安全工具、程序(方法)可能带有攻击性，仅供安全研究与教学之用，风险自负! 我们一谈起网络攻击，大家的第一反应就是跨网域攻击，横隔千里之外，夺取目标权限。但其实，局域网网攻击在网络攻击中也占有一定的比重。 在我们介绍接下来的局域网实战之前，还得说说arp协议，因为接下来的几个局域网攻击手段跟arp协议有很大关系。 ARP协议 一台主机和另一台主机通信，要知道目标的IP地址，但…

漏洞类别：Amazon Linux 漏洞等级： 漏洞信息 Server: Security: Privileges unspecified vulnerability (CPU Apr 2017): Vulnerability in the MySQL Server component of Oracle MySQL (subcomponent: Server: Security: Privileges). Supported versions that are affected are 5.5.54 and ea…

漏洞类别：Amazon Linux 漏洞等级： 漏洞信息 Infinite loop due to incorrect interaction of parse_packet() and parse_part_sign_sha256() functions: Collectd contains an infinite loop due to how the parse_packet() and parse_part_sign_sha256() functions interact. If an instance o…

漏洞类别：Backdoors and trojan horses 漏洞等级： 漏洞信息 Adylkuzz is a cryptocurrency mining malware that is reportedly spreading by exploiting a flaw in SMB. The spreading mechanism is designed on the ETERNALBLUE exploit that was released by the Shadow Brokers. Microsoft …

E安全5月18日讯 据报道，WannaCry索病毒感染了美国陆军研究实验室（ARL）一台电脑。某安全厂商提供的受影响IP地址列表显示，其中一个IP与美国军方研究实验室有关。这是首个美国联邦政府遭遇WannaCry勒索软件感染的案例。 美国陆军研究实验室电脑被感染 据不愿透露名称的安全公司发现，这个受害IP地址于5月12与攻击者已知的命令与控制服务器（C&C）块有过通信。经证实，WannaCry勒索软件成功感染了美国陆军研究实验室的电脑。这个IP地址与亚利桑那州Fort Huachuca主机上的服务器相连。至…

新华社澳门5月17日电（记者刘畅）中国澳门特区政府保安司司长黄少泽17日表示，保安司去年年底已完成网络安全法案并提交予行政会，之后会进行相关探讨。根据法案，将设立一个网络安全预警中心，当发现有网络风险情况会实时向社会发布。 黄少泽当日出席“突发事件的应急处置及善后策略”研讨会后表示，司法警察局及治安警察局至目前为止未接到“勒索软件”的相关报案。他称，特区政府由2015年开始已就设立网络安全中心进行研究，以更好地统一全澳网络安全的防范体系，去年年底已完成相关的网络安全法案及提交予行政会，之后会进行相关的探讨。 根据法…

前言 PHP是一种非常流行的Web开发语言，互联网上的许多Web应用都是利用PHP开发的。而在利用PHP开发的Web应用中，PHP文件包含漏洞是一种常见的漏洞。利用PHP文件包含漏洞入侵网站也是主流的一种攻击手段。本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细的分析，希望对大家攻击方法和防御上有帮助。如果内容有错误纰漏，请留言指正哦~ 一、 文件包含概念 1、 概念 "代码注入"的典型代码就是文件包含(File Inclusion)，我的理解是叫"外部数据流包含"，至于这个外部数据流是什么，可以是文件，也…

翻译：WisFree 预估稿费：170RMB 投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿 Oracle PeopleSoft 在几个月以前，我有幸得到了审查Oracle PeopleSoft解决方案的机会，审查对象包括PeopleSoft HRMS和PeopleTool在内。除了几个没有记录在案的CVE之外，网络上似乎没有给我提供了多少针对这类软件的攻击方法，不过ERPScan的技术专家在两年前发布的这份演讲文稿倒是给我提供了不少有价值的信息。从演示文稿中我们可以清楚地了解到，People…

翻译：童话 投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿 前言 Hello，大家好！今天我将向大家分享前段时间我是如何挖到的一个基于云端的本地文件包含漏洞。漏洞影响Facebook、Linkedin、Dropbox等多家企业。 这个LFI（本地文件包含漏洞）的触发点在Oracle Responsys的云系统中。简单介绍一下，Responsys是企业级基于云的B2C系统 。每个企业用户通过专属的ip去使用Responsys 系统。企业用户不能和其他公司分享IP。 漏洞是如何发现的？ 我像往常一…

0x00 前言 作为一个安全从业人员，在平常的工作中总是需要对一些Web系统做一些安全扫描和漏洞检测从而确保在系统上线前尽可能多的解决了已知的安全问题，更好地保护我们的系统免受外部的入侵和攻击。而传统的web安全检测和扫描大多基于Web扫描器，而实际上其是利用爬虫对目标系统进行资源遍历并配合检测代码来进行，这样可以极大的减少人工检测的工作量，但是随之而来也会导致过多的误报和漏报，原因之一就是爬虫无法获取到一些隐藏很深的系统资源（比如：URL）进行检测。在这篇文章里，笔者主要想和大家分享一下从另一个角度来设计Web扫…

漏洞类别：Web Application 漏洞等级： 漏洞信息 The QID reports list of requests crawled by the Web application scanner appear in the Results section. 漏洞危害 解决方案 0day

漏洞类别：Web Application 漏洞等级： 漏洞信息 The QID will report list of any unique Web socket links found during crawling. 漏洞危害 解决方案 0day

漏洞类别：Web Application 漏洞等级： 漏洞信息 The Data URIs are discovered in target Web Application on Non-HTTPS pages. These links are provided in the Results section along with their parent links. If same Data URI is present on multiple parent links, then only one parent…

漏洞类别：CGI 漏洞等级： 漏洞信息 Joomla! is a free open-source content management system written in PHP. It uses object oriented programming techniques and is built on a model-view-controller web application framework. It includes features such as page caching, RSS feeds, …

漏洞类别：CGI 漏洞等级： 漏洞信息 WordPress is an open source blogging tool and content management system based on PHP and MySQL. It has many features including a plug-in architecture and a template system. WordPress versions prior to 4.7.5 contain the following unauthorize…

漏洞类别：SUSE 漏洞等级： 漏洞信息 SUSE has released security update for libtirpc to fix the vulnerabilities. Affected Products: SUSE Linux Enterprise Software Development Kit 12-SP2 SUSE Linux Enterprise Server 12-SP2 SUSE Linux Enterprise Desktop 12-SP2 漏洞危害 This vulnerab…