近日,在德国34C3黑客大会上,三位黑客Plutoo、Derrek和Naehrwert在现场介绍了他们如何利用内核漏洞绕过任天堂Switch的底层保护机制,来获取主机的最高权限,破解过程包括跳过系统服务的初始化步骤,使它获取pid 0。 据其介绍他们是通过“Nivdia Tegra X1”芯片的开发文档中发现了如何绕过底层保护的方法。开发文档中他们发现了漏洞,并通过这个漏洞绕过了SMMU(系统内存管理单元),最终通过合理的方法获得了可以调试硬件的权限(他们还特意感谢了一下英伟达也是心大)。 但是
据麻省理工《技术评论》2016年8月报道,美国亚利桑那州立大学的研究人员发现了一种利用机器学习来研究黑客论坛和暗网络及深网络市场的方法,从而可探测网络漏洞。 2015年2月美国微软公司在其Windows操作系统中发现了一个关键漏洞,可能会让恶意攻击者远程控制目标计算机。这一问题影响了大范围的Windows操作系统,包括Vista、Win7、Win8、以及专为服务器和移动电脑设计的众多系统。微软公司立即发布了补丁,但该漏洞的详细信息不久就传遍了黑客圈。2015年4月,网络安全专家发现基于这种漏洞的攻击程序在暗
fail0verflow 黑客组织成员近日在赫赫有名的游戏机 Nintendo Switch上发现了一个漏洞,他们在推特上公开了他们的发现,并发布了漏洞利用的结果——成功在 Switch 上安装并运行
Shubham Shah,昵称notnaffy,澳大利亚人。十岁左右,Shubham在为了在游戏中打败哥哥,他尝试进行游戏破解,从此接触到了黑客技术。之后,在朋友的介绍下,Shubham 开始入门漏洞众测。在16岁的年纪,Shubham 就发现了Google、Facebook、Yahoo和LinkedIn等多家知名网络公司的双因素(2FA)绕过漏洞。Shubham目前以260漏洞发现量排名HackerOne 第36位,他也曾是PayPal、Adobe、Google 、Uber和Microsoft等多家厂商漏洞致谢者,以及9个CVE漏洞发现者。
上个月,我们发布过一篇相关红白机的Ubuntu漏洞,利用恶意构建的红白机音乐文件就能触发——这是著名安全专家Chris Evans的杰作;实际上,超任也存在这种情况! 上个月Chris Evans陆续针对Linux系统中的GStreamer框架进行了安全分析,发现了针对Linux桌面系统的0-day漏洞。 最近,Evans公开了稳定版的漏洞exploit,可利用特制音频文件的隐蔽下载(drive-by download)实现Linux系统入侵。目前,该漏洞可能还将对其它Linux发行版本造成影响。 漏洞
André Baptista(@0xACB),葡萄牙人,波尔图大学信息安全系特邀教授,波尔图电脑与系统工程研究院(INESC-PT)高级研究员,波尔图大学CTF战队ExtremeSTF队长,业余漏洞赏金猎人(Bug Bounty Hunter),喜欢二进制漏洞利用和逆向工程。
继Xbox主机曝出外挂后,索尼PS5也在同一日曝出两个内核漏洞,攻击者利用这两个漏洞窃取了PS5的根密钥,这引发了大众对游戏主机的新一轮担忧。
投稿作者:安全牛德勤公司的“黑客IQ”近日被黑客攻破后发现了一些非常low的安全问题。德勤公司的“黑客IQ”是一个用户网络安全知识有奖问答游戏,但颇具讽刺意味的是,这个游戏昨晚被黑客攻破后发现了一些非常low的安全问题。昨天,安全研究员Tillie Kottmann(@antiproprietary)获得了对该网站的访问权限,导致改游戏下线。Kottmann
日前安全研究人员表示,黑客在伪装加密货币挖掘恶意软件,并将其作为合法的Windows安装包传递出去。这种恶意软件,通常被称为Coinminer,使用了一系列混淆方法,使其攻击特别难以检测。一旦安装,恶意软件目录包含充当诱饵的各种文件。除此之外,安装程序还附带了一个脚本,可以杀掉在受害者电脑上运行的任何反恶意软件进程,以及受害者自己的加密货币挖掘模块。同时,恶意软件具有内置的自毁机制,使检测和分析更加困难。
这一切要从一次恶意邮件攻击活动开始。下图为我们最近监测到的一个以恶意文件为发送附件的邮件攻击,请注意邮件信息中的英语写作水平是多么差劲,其实,这也是恶意邮件的一个特点,还请收件人提高警惕。 邮件样本
2020年,新冠的爆发影响了各行各业的稳定运转,同时也催生出不少居家办公、以新冠疫情为核心的新需求,然而在2021年,全球用户的关注点发生了明显的转变。不安全的数据、代码托管库的恶意软件、关键性的零日漏洞利用和前所未见的勒索软件方案,这些话题成为了读者最常阅读的新闻主题。这或许表明在新的工作方式趋于“常态化”后,外界更热衷于关注网络犯罪的创新。
TensorFlow 科技网站technode北京时间2017年12月19日报道,腾讯安全团队近日在谷歌机器学习平台TensorFlow发现重大安全漏洞。一旦黑客利用该漏洞,应用开发者或使用者可能因此造成严重损失。 以下为报道详细内容: 一直以来,人们都认为谷歌是推动全球人工智能革命的领导者,但是它为开发者所提供的工具可能并不像许多人想象的那么安全。中国社交游戏巨头腾讯的一个安全团队近日表示,他们在谷歌的机器学习平台TensorFlow中发现了一个“重大的安全漏洞”,程序员在使用该平台编辑代码时容易受到
Google被认为是推动全球AI革命的领导者,但它给开发人员提供的工具可能并不像许多人想象的那么安全。中国社交游戏巨头腾讯的一个安全团队最近声称,它在Google的机器学习平台TensorFlow中发
近日,研究人员发现了 Spectre CPU 漏洞的一种新变种,能通过基于浏览器的代码利用。研究人员使用 Firefox 的 JavaScript 引擎 SpiderMonkey 52.7.4 对英特尔的 Haswell 和 Skylake 处理器,以及 AMD 的 Ryzen 处理器成功执行了 SplitSpectre 攻击。不过用户无需担心,现有的 Spectre 缓解方法也能阻止 SplitSpectre 攻击。
网络时代,万物互联,人们在享受数字生活带来的福利时,背后隐藏的安全漏洞也正时刻构成威胁,只要技术是一把双刃剑,漏洞就将伴随信息技术的不断发展,与之相对应的,一些网络黑客对漏洞的利用技术也在提升,攻击事件变得越发频繁。
近日,安全团队发现恶意攻击者利用GitHub推广后门版应用。所有托管后门应用的账号目前全部移除。恶意应用下载名叫 Supreme NYC Blaze Bot (supremebot.exe)的 Java 恶意程序。攻击者建立了一批账号,有的账号托管了几十个恶意应用,黑客创建了许多合法应用的后门版本,其中包括 MinGW、GCC、Ffmpeg、EasyModbus 和一些 Java 游戏。
一些人认为测试没有技术含量是因为,点点功能就可以了。这样的话,别人大家看不起你。你以为测试的工作就是点点点。。。
日前,研究团队发现了一种新的恶意软件,能够针对Linux和Windows服务器,将加密货币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。Xbash使用可利用的漏洞和弱密码强制组合在服务器之间传播,此外,Xbash的僵尸网络和勒索软件组件通过利用未受保护和易受攻击但未修补的服务来定位Linux服务器。Xbash还具有由代码编译,代码压缩和转换以及代码加密提供支持的反检测功能。
网络托管巨头GoDaddy周一披露了一起数据泄露事件,导致共有120万活跃和非活跃客户的数据遭到未经授权的访问,这是自2018年以来曝光的第三起安全事件。
安全公司赛门铁克在自己的官方博客上发表文章,称首度发现 6 款因为 Android“主密钥”漏洞而受到感染的应用,均来自中国,且为同一攻击者,但是博客并未透露具体是在哪个应用市场发现的。 这种所谓的“主密钥”漏洞即是本月早些时候移动安全公司 Bluebox 披露的一个威胁99%Android设备的漏洞。该漏洞可令黑客在不改变应用密钥签名的情况下篡改 APK(安装包)代码,从而读取设备上任意手机应用的数据(电子邮件、短信、文档等),获取保存在手机上的所有账号和密码,接管并控制手机的
谷歌安全研究员Tavis Ormandy发现暴雪游戏存在一个严重漏洞,攻击者利用该漏洞针对游戏玩家电脑可实现远程恶意代码执行。“魔兽世界”、“守望先锋”、“暗黑破坏神3”、“炉石传说”和“星际争霸2”等由暴雪娱乐公司创造的流行网络游戏,每月的在线玩家数量都达5亿人次。 漏洞信息 如果要用网络浏览器在线玩暴雪游戏,用户需要在自己电脑系统中安装一个名为‘Blizzard Update Agent’的客户端程序,利用它来运行HTTP协议和1120端口的JSON-RPC服务,以便执行‘命令安装、卸载、设置更改、
在这篇文章中,我将跟大家分享关于“不安全的直接对象引用”(IDOR)攻击的相关内容。没错,正如本文标题所写的那样,我在OLX所托管的网站上发现了一个IDOR漏洞,并将其披露在了HackerOne上,因
由于游戏的付费模式,让无数黑客乐此不疲的投身于破解主机的工作中去。近期,一位女性黑客正式宣布已经破解任天堂Switch,适用于目前所有系统版本的Switch,并表示这是由NVIDIA Tegra芯片中
由于游戏的付费模式,让无数黑客乐此不疲的投身于破解主机的工作中去。近期,一位女性黑客正式宣布已经破解任天堂 Switch,适用于目前所有系统版本的 Switch,并表示这是由 NVIDIA Tegra 芯片中的漏洞导致,已出厂的 Switch 主机无法通过系统更新修复。
记者从渝中警方获悉,一17岁网瘾少年当黑客,盗取了一互联网民营企业账户,让原本向公司“买”装备的他,变为向公司“卖”装备,短短几天时间,他便从网络上盗走了该公司的12余万元。
当你看到这篇文章标题时,是不是很吃惊,PayPal服务器的RCE漏洞?Dafaq?WTF?真的吗?这当然是真的,很幸运,我通过枚举和域名查找方法发现了该漏洞。 从头说起 最近,我通过4个月夜以继日的学习努力,突破重重考验,终于获得了OSCP渗透测试认证。这么长时间的花费,以至于我根本没时间参与一些漏洞众测项目。所以,接下来打算挖挖漏洞赚点零花钱。 正常人的周末是这样的:聚会、喝酒、玩乐、视频聊天等等,或者,走,去看《蜘蛛侠:英雄归来》!在家追剧《权力的游戏》….. 我的周末则是这样的:忙! 上传漏洞
近日在网上愉快的冲着浪,误打误撞的点开了某链接直接跳转到某游戏私服的网站,刚想关掉背景音乐吸引住了我,别说还蛮好听的,用听歌识曲识别是许美静唱的《边界1999》一代人的回忆啊,既然你的背景音乐那么动听那就别怪我不客气了。
你还能想起自己8岁的时候,每天都在玩什么吗?可能是在楼下和小朋友一起捉迷藏?在家追一本连载的漫画书?又或者在电脑上玩种菜偷菜的小游戏?
近日Bitdefender Labs发布报告称已经发现Hide and Seek新型变种。利用Android开发者调试之用的Android Debug Bridge (ADB)功能中所存在的漏洞,该变种通过WiFi网络连接来感染Android设备,使之成为僵尸网络的一员。虽然并非所有Android都默认启用ADB功能,但部分Android手机厂商会默认自动启用,可以通过5555端口使用WiFi ADB远程连接就能轻松进行攻击。在连接至默认激活ADB的Android系统之后,允许攻击者以root级别获得shell访问,可以在受感染设备上运行和安装任何东西。
WeTest 导读 漏洞和外挂一直是危害游戏的罪魁祸首,在游戏行业发展的历程中,不乏一些经典热门的游戏在安全事故中失去江湖地位。不重视游戏安全的结果,不仅让制作人员的心血毁于一旦,更痛失万千玩家的热爱。在如今手游盛行的时代,如何正视手游安全,最大化的减少安全事故的发生概率,请跟随本文一起探索。 梦幻之源—《梦幻模拟战》手游的前世今生 《梦幻模拟战》系列作为经典的日式战棋游戏,自1991年初代作品发布至今在老一辈中国玩家心中有着极高的地位。2018年初紫龙游戏正式推出日式王道幻想大作《梦幻模拟战》的手
我们学校被钓鱼了,泄露了不少同学的邮箱信息。正好先来无事,实验室的师哥们就带我们这帮菜鸡们玩了玩(呜呜呜~~基本都是师哥拿下来的,弟弟太菜了),毕竟在我们这种特殊院校出现这种事件说明犯罪分子十分嚣张了。
元旦假期前,微信小游戏功能上线,一款名为“跳一跳”的小游戏迅速在朋友圈刷屏。无需下载直接在微信小程序就可以玩,玩法简单、容易上瘾,还能与朋友PK。 游戏和辅助(外挂)就像一对好基友,大多数时间都是同
手游行业因外挂、客户端&服务端漏洞、破解版等安全问题,每年遭受着超过几十亿元的损失。相对于游戏研发过程中的其他问题,由于手游安全测试的门槛较高,市场上绝大多数的手游开发者都无法主动高效的提前处理手游潜在的安全风险。一些手游开发者会抱着等出现了问题之后再去修复的想法,而等到问题出现之时,往往为时已晚,安全问题已对游戏的收入、口碑已经产生了很大的影响。
原文链接:https://wetest.qq.com/lab/view/429.html
据外媒报道,研究人员发现,全球超41.5万台路由器感染了旨在窃取路由器计算能力并偷偷挖掘加密货币的恶意软件。影响最为严重的是MikroTik路由器,有记录显示,针对该品牌的一系列加密攻击始于今年8月,有20多万台设备被感染。尽管攻击者过去倾向于使用CoinHive–一种用于面向隐私加密货币Monero (XMR)的挖掘软件,但研究人员注意到,攻击者已经开始转向了其他挖掘软件,“CoinHive、Omine和CoinImp是使用最多的服务。
一个Razer Synapse 0day漏洞在Twitter上披露,只需插入Razer鼠标或键盘即可获得 Windows管理员权限。
1 云隔离问题:PostgreSQL漏洞影响多家云厂商 Wiz Research 在多个云供应商的流行 PostgreSQL 即服务产品中发现了漏洞。这些漏洞不是 PostgreSQL 代码库中的错误导致的,而是云供应商为满足他们的需求而引入项目的代码中的 https://www.wiz.io/blog/the-cloud-has-an-isolation-problem-postgresql-vulnerabilities 2 研究人员在新加坡发现了 Classiscam 诈骗即服务业务 一个名为Clas
软件工程领域顶级会议 34th IEEE/ACM International Conference on Automated Software Engineering (ASE 2019) 将于 2019 年 11 月 10 日至 15 日在美国圣地亚哥举办,本次会议共收到 445 篇提交论文,最终接收 86 篇,接收率为 19.3%。本文介绍天津大学强化学习实验室同网易伏羲人工智能实验室、NTU 合作的 ASE 2019 论文《Wuji: Automatic Online Combat Game Testing Using Evolutionary Deep Reinforcement Learning》。
https://blog.csdn.net/weixin_44991517/article/details/114268401
Corben Leo(@cdl),19岁,南达科塔州州立大学计算机系在读,信息安全咨询分析师,专注于Web安全,熟悉Go、C、Python、Bash、PHP、JS等前端编程语言。
美国国土安全部网络安全和基础设施安全局(CISA)发布公告提醒攻击者正在针对 SonicWall SMA 100 系列设备和 SRA 设备中发现的漏洞进行攻击。有安全公司指出,攻击者为HelloKitty勒索软件团伙。
最近轰动全球的新闻应该就是巴黎圣母院的大火了。一场大火让全世界人民都在为之叹息,这座已经存在了800年的绝美建筑将暂时消失在人们面前。
根据CNNIC第42次《中国互联网络发展状况》调查显示,截至2018年5月,我国市场上监测到的游戏类移动应用程序数量为152万,避开版号审批等问题不谈,总量依然较2017年末增长了 42.1%。
《九州天空城3D》上线至今,长期稳定在APP Store畅销排行的前五,本文将介绍腾讯WeTest手游安全团队在游戏上线前为《九州天空城3D》挖掘安全漏洞的全过程。
本文主要介绍了《九州天空城3D》手游在安全测试过程中,由腾讯WeTest手游安全测试团队提供的手游安全测试服务。通过模拟外挂、修改客户端资源、执行代码等手段,团队发现了一系列的安全漏洞,并提供了详细的漏洞信息、影响范围和修复建议。通过这些测试,团队帮助开发商发现并修复了游戏存在的安全漏洞,保障了游戏的顺利运营。
Bastille的研究团队发现了一种针对蓝牙键盘鼠标的攻击,攻击者可以利用漏洞控制你的电脑操作。研究团队将此攻击命名为MouseJack。 七大厂商皆中招 软件工程师马克纽林说:“利用假冒的无线电脑鼠标和键盘可以从100米的距离利用便携式外围设备入侵笔记本电脑,这些设备来自至少七家大厂商,包括罗技、微软、亚马逊”。 相对于通常被加密的键盘无线链路来说,攻击目标通常为明文和非蓝牙端口和鼠标之间的安全通信。 纽林,Bastille的安全装备机构,发现了针对13种鼠标和键盘的攻击并向各厂商报告了漏洞,其
Akamai的专家们发现Linux XOR DDoS僵尸网络,它是一个恶意的网络基础设施,可用于对几十个目标发起强有力的DDoS攻击。此外,它主要针对游戏领域和教育行业的网站。 XOR DDoS介绍 安全人员已经发现了一种Linux僵尸网络,它被称为XOR DDoS或Xor.DDoS僵尸网络。此外,它主要针对游戏和教育网站,能够对其发起强有力的DDoS攻击,可以达到每秒1500亿字节的恶意流量。根据内容分发网络Akamai科技发布的一份报告,XOR DDoS僵尸网络每天至少瞄准20个网站,将近90%的目
领取专属 10元无门槛券
手把手带您无忧上云