腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

尚国

专栏作者

22

文章

26573

阅读量

12

订阅数

Windows SMBv3 CVE-2020-0796漏洞

安全 windows windows server 文件存储

今天，Microsoft不小心泄露了有关安全更新的信息。蠕虫的 Microsoft服务器消息块（SMB）协议中的漏洞。

2020-03-12

6620

CVE-2018-8120 Microsoft Windows提权漏洞 Exp

Tested on: Win7 x32, Win7 x64, Win2008 x32, Win2008 R2 x32, Win2008 R2 x64.

2018-09-11

1.5K0

PHP反序列化漏洞

这里你可以看到，我代码里的类定义为: class F, 这个序列化就是 F，我定义变量名字是filename, 它这里也是 filename, 我们可以修改看看:

2018-09-11

5860

S2-057远程代码执行漏洞复现过程

容器镜像服务 http git struts bash

https://github.com/vulhub/vulhub/tree/master/struts2/s2-048

2018-09-11

1.7K0

Ghostscript远程代码执行漏洞利用方法

2、命令执行成功了，说明系统已经安装了ghost script，然后我们来构造poc

2018-09-11

9310

SELinux初学者指南

SELinux（Security Enhanced Linux）是美国国家安全局2000年发布的一种高级MAC(Mandatory Access Control，强制访问控制)机制，用来预防恶意入侵。SELinux在DAC（Discretionary Access Control，自主访问控制）的基础上实现了强制访问控制，比如读、写和执行权限。

2018-09-11

1.2K0

EOS节点远程代码执行漏洞细节

漏洞存在于在 libraries/chain/webassembly/binaryen.cpp文件的78行,

2018-09-11

3880

CVE-2018-8174 EXP 0day python

usage: CVE-2018-8174.py [-h] -u URL -o OUTPUT [-i IP] [-p PORT]

2018-09-11

1.6K0

如何通过审计安全事件日志检测密码喷洒(Password Spraying)攻击

许多渗透测试人员和攻击者通常都会使用一种被称为“密码喷洒（Password Spraying）”的技术来进行测试和攻击。对密码进行喷洒式的攻击，这个叫法很形象，因为它属于自动化密码猜测的一种。这种针对所有用户的自动密码猜测通常是为了避免帐户被锁定，因为针对同一个用户的连续密码猜测会导致帐户被锁定。所以只有对所有用户同时执行特定的密码登录尝试，才能增加破解的概率，消除帐户被锁定的概率。

2018-09-11

2.4K0

PwnAuth——一个可以揭露OAuth滥用的利器

鱼叉式网络钓鱼攻击被视为企业最大的网络威胁之一。只需要一名员工输入自己的凭证或运行一些恶意软件，整个企业都会受到威胁。因此，公司投入大量资源来防止凭证收集和有效载荷驱动的社会工程攻击。然而，对于非传统但却同样危险的社会工程——OAuth滥用却没有给予足够重视。在OAuth滥用攻击中，受害者授权第三方应用程序访问其帐户。一旦获得授权，应用程序不需要凭证就可以访问用户的数据，并绕过可能存在的任何双因素身份验证。

2018-09-11

1.7K0

avast：中兴手机预装恶意软件嵌入固件底层

著名安全机构 avast 发布报告称，旗下安全威胁实验室发现，中兴、爱可视、MyPhone 等厂商的多款安卓手机居然预装了恶意广告软件。该恶意软件被命名为“ Cosiloon ”，它会在用户使用浏览器上网的时候，在网页上方覆盖显示一个广告。

2018-09-11

6590

数字货币钱包安全白皮书

区块链技术的迅速发展，使得数字货币渐渐走入的大众的视线，在2017年底，这股热潮达到顶峰，直接搅动着金融市场与科技市场，大量的数字货币交易流水催生了数字钱包开发行业，根据钱包使用时的联网状态分为热钱包和冷钱包。

2018-09-11

1.2K1

CVE-2017-8464远程命令执行漏洞（震网漏洞）复现

2017年6月13日，微软官方发布编号为CVE-2017-8464的漏洞公告，官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞，黑客可以通过U盘、网络共享等途径触发漏洞，完全控制用户系统，安全风险高危。

2018-09-11

8550

工业互联网联盟发布新物联网安全成熟度模型

工业互联网联盟（IIC）基于其自身的安全框架和参考架构开发了一种新型物联网安全成熟度模型（SMM），有助于企业利用现有的安全框架达到他们自己定义的物联网安全成熟度目标级别。本周 IIC 发布了两篇报告中的第一篇 — 《物联网安全成熟度模型：描述和预期用途》，该篇主要是针对较少技术的物联网利益相关者的高级概述。微软物联网标准首席策略师 Ron Zahavi 预计第二篇为安全从业人员提供更多技术观点的白皮书将会在夏季发布。

2018-09-11

6670

深入剖析最新IE0day漏洞

在2018年4月下旬，我们使用沙箱发现了IE0day漏洞;自从在野外发现上一个样本(CVE-2016-0189)已经有两年多了。从许多方面来看，这个特别的漏洞及其后续的开发比较有趣。下一篇文章将分析最新的漏洞背后的核心原因，CVE-2018-8174。

2018-09-11

7430

联储证券被曝存在多项信息安全漏洞

　　5月21日，深圳证监局公布对联储证券有限责任公司采取出具警示函行政监管措施的决定。深圳证监局表示，根据中国信息安全测评中心出具的信息系统渗透测试报告显示，联储证券存在多项信息安全漏洞。

2018-09-11

6220

封杀“改号神器”关键在堵住通信网络漏洞

冒充领导、好友，甚至机主本人，利用改号软件诈骗的案例屡有发生。近日记者调查发现，仍有改号软件活跃网络。一些改号软件卖家称自己的产品是“全网最牛改号神器”，可以“一键变身任意号码”，并支持客户指定号码免费测试。记者体验一款名为“calla Droid”的改号软件发现，该软件支持联通、移动、电信等运营商的任意号段，设定目标号段后，可以以任意号码拨通，且能显示归属地。

2018-09-11

1.7K0

ECShop全系列版本远程代码执行漏洞复现

php sql http html windows

问题发生在user.php的display函数，模版变量可控，导致注入，配合注入可达到远程代码执行

2018-09-11

3K0

Healwire Online Pharmacy 3.0 Cross Site Request Forgery / Cross Site Scripting

arm http .net windows go

Healwire Online Pharmacy version 3.0 suffers from cross site request forgery and cross site scripting vulnerabilities.

2018-09-11

5300

利用PowerUpSQL攻击SQL Server实例

这篇博客简述如何快速识别被第三方应用使用的SQL Server实例，该第三方软件用PowerUpSQL配置默认用户/密码配置。虽然我曾经多次提到过这一话题，但是我认为值得为这一主题写一篇简短的博客，帮助大家解决常见的问题。希望会帮助到那些尝试清理环境的渗透测试人员和网络安全团队。

2018-09-11

1K0

点击加载更多

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态