当前位置:安全客 >> 安全周报

360网络安全周报第103期



安全资讯


安全圈活动

安全知识

  • 【漏洞分析】Struts2 S2-046 漏洞原理分析
    【漏洞分析】Struts2 S2-046 漏洞原理分析

    Struts2又爆了一个等级为高危的漏洞---S2-046,仔细一看,S2-046和S2-045的漏洞触发点一样,利用方式不一样。本篇文章通过源码对该漏洞的两种不同利用方式展开分析。

    发布时间: 2017-03-23 17:45:19 点赞(0) 收藏

  • 【技术分享】IE浏览器漏洞综合利用技术:堆喷射技术
    【技术分享】IE浏览器漏洞综合利用技术:堆喷射技术

    浏览器漏洞利用从最初的“暴力”、“野蛮”逐步发展到了如今的“优雅”和“科幻”。本篇文章是对浏览器安全做的一个技术总结。内容包含较多,从信息泄露到漏洞利用,从各种缓解措施的绕过到最新保护措施的介绍。

    发布时间: 2017-03-24 11:03:54 点赞(0) 收藏

  • 【技术分享】格式化字符串漏洞利用小结(一)
    【技术分享】格式化字符串漏洞利用小结(一)

    格式化字符串漏洞现在已经越来越少见了,但在CTF比赛中还是会经常遇到。通过学习这种类型的漏洞利用,可以促使我们触类旁通其他漏洞类型,从而进一步加深对软件脆弱性基本概念的理解。本文简要介绍了格式化字符串漏洞的基本原理,然后从三个方面介绍了该漏洞类型的常见利用方式,并配以相应CTF赛题作为例子。

    发布时间: 2017-03-24 14:31:57 点赞(0) 收藏

  • 【工具推荐】Intrigue-core:信息收集框架(入选 BlackHat兵工厂)
    【工具推荐】Intrigue-core:信息收集框架(入选 BlackHat兵工厂)

    本篇文章中,我们将介绍一款开源信息收集框架Intrigue-core,通过Intrigue-core可以更加方便、全面的侦测到目标企业更多的攻击面,可有效将收集到的信息以点线、图表等方式呈现,直观了解到各主机、域名等信息的相关性。

    发布时间: 2017-03-24 11:56:05 点赞(0) 收藏

  • 【技术分享】人工智能反欺诈三部曲——特征工程
    【技术分享】人工智能反欺诈三部曲——特征工程

    近年来,电子商务迅速发展,商家针对营销及交易环节的推广活动经常以返利的形式进行。由于有利可图,此类线上推广迅速滋生了针对返利的系统性的优惠套利欺诈行为,俗称薅羊毛。在实践中,我们发现,一个基于统计和机器学习的多层动态风险评分体系和决策系统能有效地抵御“羊毛党”的攻击。那如何打造这样一个系统呢?

    发布时间: 2017-03-20 18:44:31 点赞(0) 收藏

  • 【漏洞分析】CVE-2017-0038:GDI32越界读漏洞从分析到Exploit
    【漏洞分析】CVE-2017-0038:GDI32越界读漏洞从分析到Exploit

    本文主要讲了对CVE-2017-0038 GDI32.dll的Out-of-bound Read漏洞分析,并使用JS编写了一个浏览器可用的exploit,随后又介绍了为什么无法用浏览器进行Info leak,然后,又用C语言完成exploit,一起来看看真正泄露的内存内容,最后将两种不同语言编写的exp分享到Github上。

    发布时间: 2017-03-23 10:11:44 点赞(0) 收藏

  • 【漏洞分析】日版WPS远程代码执行漏洞详细分析
    【漏洞分析】日版WPS远程代码执行漏洞详细分析

    文字处理等办公产品中的漏洞是黑客进行漏洞利用的广泛目标之一。来自JustSystems的Ichitaro办公套件广泛应用于日本和说日语的社区。本文就该产品远程代码执行漏洞进行分析。

    发布时间: 2017-03-21 14:57:46 点赞(0) 收藏

  • 【技术分享】通过无线流量和BSSID传输后门有效载荷
    【技术分享】通过无线流量和BSSID传输后门有效载荷

    本篇文章主要介绍通过无线AP和BSSID(AP的MAC地址)传输后门有效载荷。通过扫描Wifi设备MAC地址(BSSID) 转储这些有效载荷,然后后门将通过eth0或Ethernet卡建立Meterpreter 会话。

    发布时间: 2017-03-21 10:42:10 点赞(0) 收藏