最新消息:图 床

最新发布

Jenkins 任意文件讀取漏洞分析
COOL

Jenkins 任意文件讀取漏洞分析

IAM 2天前 2浏览 0评论

作者:雲鼎實驗室 一、漏洞背景 漏洞編號:CVE-2018-1999002 漏洞等級:高危 Jenkins 7 月 18 日的安全通告修復了多個漏洞,其中 SECURITY-914 是由 Orange (博客鏈接:http://blog.orange...

Hadoop Yarn REST API 未授權漏洞利用挖礦分析
COOL

Hadoop Yarn REST API 未授權漏洞利用挖礦分析

IAM 2周前 (09-15) 12浏览 0评论

作者:Fooying@雲鼎實驗室 公眾號:雲鼎實驗室 一、背景 5月5日騰訊雲安全團隊曾針對攻擊者利用Hadoop Yarn資源管理系統REST API未授權漏洞對服務器進行攻擊,攻擊者可以在未授權的情況下遠程執行代碼的安全問題進行預警,在預警的前後...

內網備忘錄
COOL

內網備忘錄

IAM 3周前 (09-11) 14浏览 0评论

作者:tom0li 文章內容沒談snmp利用,可以去烏雲等社區獲取,沒有後續內網持久化,日誌處理,bypass uac等內容。 Webshell 測試主站,搜wooyun歷史洞未發現歷史洞,github,svn,目錄掃描未發現敏感信息,無域傳送,端口...

MEWKit: Cryptotheft 的最新武器
COOL

MEWKit: Cryptotheft 的最新武器

IAM 4周前 (09-01) 13浏览 0评论

譯者:知道創宇安全服務團隊、404區塊鏈安全團隊 [PDF版本下載] 介紹 當談到加密貨幣時,會聯想到加密貨幣巨大的價格波動,交易違約、贖金勒索的情況以及許多不同種類的貨幣。虛擬貨幣自興起以來,就一直受到罪犯無情地攻擊,許多人都希望能從中獲取利益。在...

UEditor SSRF漏洞(JSP版本)分析與復現
COOL

UEditor SSRF漏洞(JSP版本)分析與復現

IAM 1个月前 (08-18) 21浏览 0评论

作者: 浮萍@獵戶安全實驗室 公眾號:獵戶安全實驗室 前些時間測試的時候遇到了一個系統採用了UEditor編輯器,版本為1.4.3。已知該編輯器v1.4.3版本存在SSRF漏洞,雖然是Bool型的SSRF,除了可以進行內網探測外,也可以根據web應用...

Linux Redis自動化挖礦感染蠕蟲分析及安全建議
COOL

Linux Redis自動化挖礦感染蠕蟲分析及安全建議

IAM 2个月前 (08-14) 20浏览 0评论

作者:Fooying@雲鼎實驗室 公眾號:雲鼎實驗室 一、背景 自從Redis未授權問題獲取Linux系統root權限的攻擊方法的披露后,由於其易用性,利用該問題入侵Linux服務進行挖礦、掃描等的黑客行為一直層出不窮;而在眾多利用該問題入侵服務器進...

以太坊智能合約 Hexagon 存在溢出漏洞
COOL

以太坊智能合約 Hexagon 存在溢出漏洞

IAM 2个月前 (08-09) 27浏览 0评论

作者:zxx友善@360 0KEE Team 來源:https://www.jianshu.com/p/c5363ffad6a7 最近通過對智能合約的審計,發現了一些智能合約相關的安全問題。 其中我們發現智能合約Hexagon存在溢出攻擊,可產生無數...