当前位置:安全客 >> 安全知识

安全知识  

我要投稿
  • 【技术分享】针对PayPal子域存储型XSS的研究(下)
    【技术分享】针对PayPal子域存储型XSS的研究(下)

    在本系列文章的上集中,我们给大家介绍了PayPal品牌中心以及PayPal技术支持门户中存在的存储型跨站脚本漏洞。接下来,我们将会给大家介绍如何利用PayPal品牌中心站点中的XSS漏洞。在这个过程中,我们利用该站点所使用的身份验证机制存在的安全问题,并利用文件名注入将Self-XSS转换为non-Self型的存储型XSS。

    发布时间: 1天前 点赞(0) 收藏

  • 【技术分享】Lua程序逆向之Luac字节码与反汇编
    【技术分享】Lua程序逆向之Luac字节码与反汇编

    在了解完了Luac字节码文件的整体结构后,让我们把目光聚焦,放到更具体的指令格式上。Luac字节码指令是整个Luac最精华、也是最具有学习意义的一部分,了解它的格式与OpCode相关的知识后,对于逆向分析Luac,会有事半功倍的效果,同时,也为自己开发一款虚拟机执行模板与引擎打下良好的理论基础。

    发布时间: 1天前 点赞(0) 收藏

  • 【技术分享】针对新型POS机恶意软件Trojan.Win32.Alinaos的分析
    【技术分享】针对新型POS机恶意软件Trojan.Win32.Alinaos的分析

    平常我们刷卡后POS机通常会保存我们的消费记录,其中就包含信用卡的信息。如今在黑市上,有不少人都在通过售卖信用卡信息来赚取非法盈利。近期,我们在美国的大量酒吧和餐厅都发现了POS机恶意软件。经过分析,他们的POS终端是被信用卡信息窃取恶意软件的两个变种所感染。本文对这两个变种进行了分析。

    发布时间: 1天前 点赞(0) 收藏

  • 【技术分享】某防火墙远程命令执行
    【技术分享】某防火墙远程命令执行

    防火墙的管理服务默认运行在 22、23 端口,需登录才能使用,默认的管理员用户密码为████。除此之外,系统中还存在另一个用户:dump/dump,此用户在官方文档中并未提及,或者可以称为后门账号?

    发布时间: 1天前 点赞(0) 收藏

  • 【知识】11月17日 - 每日安全知识热点
    【知识】11月17日 - 每日安全知识热点

    美国政府发现朝鲜政府指使的恶意网络活动HIDDEN COBRA中的远控工具: FALLCHILL、卡巴斯基对美国2014年9月“方程式”恶意软件检测事件调查报告、​AngelaRoot:一加手机刷入SuperSU的app、Cisco IOS的shellcode生成工具、WMI repositories取证脚本、对ShadownBrokers放出的exploit——epichero的分析

    发布时间: 1天前 点赞(0) 收藏

  • 【漏洞分析】Foscam C1室内高清摄像机的多个漏洞分析
    【漏洞分析】Foscam C1室内高清摄像机的多个漏洞分析

    Foscam C1室内高清摄像头是一个基于网络的摄像头,用于包括家庭安防在内的多种场合。在6月,Talos团队曾发现该设备存在多个漏洞。借助本次发现的这些漏洞,攻击者可以在受漏洞影响的设备上实现远程代码执行,并可以将恶意固件映像上传至设备,最终可能导致攻击者完全控制该设备。

    发布时间: 1天前 点赞(0) 收藏

  • 【漏洞分析】CouchDB漏洞(CVE–2017–12635, CVE–2017–12636)分析
    【漏洞分析】CouchDB漏洞(CVE–2017–12635, CVE–2017–12636)分析

    在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CouchDB被曝存在远程代码执行的问题。其中CVE-2017-12636的任意命令执行早在2016年即被披露, 但并未引起重视。

    发布时间: 2天前 点赞(0) 收藏

  • 【技术分享】谷歌商店又现新型恶意软件Grabos通过推广app牟利
    【技术分享】谷歌商店又现新型恶意软件Grabos通过推广app牟利

    近期McAfee移动研究团队在谷歌商店发现了一种新型的Android恶意软件Grabos。表面上看是音乐下载工具,多种动态调试的检测,其实加密上传它搜集到的信息,还会检测是否安装某些社交软件。考虑到显示广告的功能和大量的下载,我们认为Grabos的主要目的是通过推广应用程序的安装进行牟利。

    发布时间: 2天前 点赞(0) 收藏

  • 【技术分享】点击型僵尸app:能够自动点击的安卓僵尸app(下)
    【技术分享】点击型僵尸app:能够自动点击的安卓僵尸app(下)

    在下篇中,讲述了利用无障碍辅助服务的点击型僵尸应用的代码分析,以及其他点击欺诈的方法,最后给出了总结。

    发布时间: 2天前 点赞(0) 收藏

  • 【技术分享】针对PayPal子域存储型XSS的研究(上)
    【技术分享】针对PayPal子域存储型XSS的研究(上)

    在本系列文章中,我们将会给大家介绍如何利用PayPal品牌中心站点中的XSS(跨站脚本)漏洞。在这个过程中,我们需要利用该站点所使用的身份验证机制中存在的安全问题,并利用“文件名注入”技术将Self-XSS转换为non-Self型的存储型XSS。

    发布时间: 2天前 点赞(0) 收藏