当前位置:安全客 >> 安全周报

360网络安全周报第127期



安全资讯


安全圈活动

安全知识

  • 【漏洞分析】360天眼实验室:Struts2 S2-052(CVE-2017-9805)远程代码执行漏洞分析
    【漏洞分析】360天眼实验室:Struts2 S2-052(CVE-2017-9805)远程代码执行漏洞分析

    Struts2 S2-052远程代码执行漏洞与以往的Struts2漏洞不同,S2-052利用的是Java反序列化漏洞,而不是臭名昭著的ognl。本次漏洞触发点是REST插件在解析请求中的xml文件时调用了XStreamHandler,传入的数据会默认进行反序列化。当传入的xml是经XStream序列化的恶意对象时,便造成反序列化漏洞。

    发布时间: 2017-09-07 17:02:16 点赞(0) 收藏

  • 【漏洞分析】Apache Struts2–052 漏洞分析预警
    【漏洞分析】Apache Struts2–052 漏洞分析预警

    2017年9月5日,Apache Struts发布最新安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,该漏洞由lgtm.com的安全研究员汇报,漏洞编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。本篇文章为针对该漏洞的分析。

    发布时间: 2017-09-06 14:17:39 点赞(0) 收藏

  • 【技术分享】浅谈struts2历史上的高危漏洞
    【技术分享】浅谈struts2历史上的高危漏洞

    Apache Struts2作为世界上最流行的Java Web框架之义,广泛应用于教育、金融、互联网、通信等重要行业。它的一个高危漏洞危害都有可能造成重大的互联网安全风险和巨大的经济损失。本文旨在对以往的高危漏洞形成原因、受影响的版本以及相应的利用方式进行一次梳理,若有不完善的地方欢迎大家指正。

    发布时间: 2017-09-04 15:08:06 点赞(0) 收藏

  • 【技术分享】如何使用Burp Suite Macros绕过防护进行自动化fuzz测试
    【技术分享】如何使用Burp Suite Macros绕过防护进行自动化fuzz测试

    本文的主要内容是讲述如何通过Burp Suite Macros自动化模糊测试Web应用的输入点以完成渗透测试工作。

    发布时间: 2017-09-05 14:03:31 点赞(0) 收藏

  • 【APT报告】海莲花团伙的活动新趋势
    【APT报告】海莲花团伙的活动新趋势

    前天友商发布了一个关于海莲花APT团伙的新活动报告,揭露了一些新发现的样本和基础设施,本文提供一些360威胁情报中心视野内的信息来构成更大的拼图。

    发布时间: 2017-09-04 11:02:40 点赞(0) 收藏

  • 【技术分享】禁用WiFi就能阻止安卓手机发送数据?太天真了少年!
    【技术分享】禁用WiFi就能阻止安卓手机发送数据?太天真了少年!

    智能手机发出的Wi-Fi信号可以用来被动追踪用户的生活轨迹。Android系统在设备上提供了启用或禁用Wi-Fi功能的选项。然而,通过这个选项禁用Wi-Fi并不足以完全阻止设备的Wi-Fi活动。

    发布时间: 2017-09-04 14:39:00 点赞(0) 收藏

  • 【技术分享】KaliRouter安装与使用全指南
    【技术分享】KaliRouter安装与使用全指南

    本篇文章主要介绍如何使用KaliRouter将Kali Linux设备变成一台路由器,可以通过Wireshark记录所有的网络流量,还可以将HTTP(S)流量发送至拦截代理。

    发布时间: 2017-09-07 13:42:17 点赞(0) 收藏

  • 【漏洞分析】对Youtube中高级Flash漏洞的分析
    【漏洞分析】对Youtube中高级Flash漏洞的分析

    Flash至今仍是一个活跃的威胁来源。在2017年,我分别向Facebook、Youtube、WordPress、Yahoo、Paypal以及Stripe提交了Flash漏洞。在本文中,我会介绍我在Youtube Flash Api中找到的一些高级Flash漏洞,同时我也会顺便提到html/javascript安全性方面的内容。

    发布时间: 2017-09-06 14:01:17 点赞(0) 收藏

  • 【技术分享】如何远程控制别人的无线鼠标:深度揭露鼠标劫持内幕
    【技术分享】如何远程控制别人的无线鼠标:深度揭露鼠标劫持内幕

    无线鼠标是一种被广泛使用的输入设备,受到了许多白领人士以及在拎着笔记本在外奔波的业务员们的青睐。但研究表明,无线鼠标存在安全隐患,恶意攻击者可通过低成本的无线攻击设备通过远程控制受害者的无线鼠标并进行一系列恶意操作

    发布时间: 2017-09-07 10:45:57 点赞(0) 收藏

  • 【挖洞经验】看我如何挖掘到了某热门网站上的SQLi和XSS漏洞
    【挖洞经验】看我如何挖掘到了某热门网站上的SQLi和XSS漏洞

    在上个月的日常挖洞过程中,我发现了一个当前十分热门的航空公司网站,并在该网站中发现了几个安全漏洞。由于这个网站还没有设立公开的漏洞奖励计划,所以我们不便在此透露该网站的真实身份,我们索性认为它的域名为goodwebsite.com。接下来我会给大家介绍我如何挖到了该网站中存在的SQL注入漏洞以及XSS(跨站脚本)漏洞。

    发布时间: 2017-09-05 09:54:06 点赞(0) 收藏

  • 【技术分享】逆向集成在谷歌语音程序中的OBi200固件: 第一部分
    【技术分享】逆向集成在谷歌语音程序中的OBi200固件: 第一部分

    由Obihai公司出品的OBi200是一个和谷歌语音集成在一起的家庭VoIP网关。它支持大多数标准VoIP功能,并且可以与几乎任何“便携式”SIP服务集成。我今年早些时候购买了一台,作为我家里的座机(无月租),到目前为止,运转的相当不错。但在完全安装之前,我决定深入了解它的工作原理。

    发布时间: 2017-09-05 11:06:01 点赞(0) 收藏

  • 【技术分享】无弹窗渗透测试实验
    【技术分享】无弹窗渗透测试实验

    本篇文章通过自身搭建的渗透测试实验环境,旨在模拟真实的网络攻击。通过外网的Web服务撕开口子,逐渐深入结合一些社工手段,最终拿下域控权限。在社工场景中,结合多个近来爆出的客户端漏洞,及一些技巧全程无弹窗,极大的增强了“用户体验”。

    发布时间: 2017-09-05 11:49:52 点赞(0) 收藏