实战|记录一次某客户系统的漏洞挖掘
作者:国光,转载于https://www.sqlsec.com/记录一个 Java 系统的漏洞挖掘,系统的主要的问题是没有做越权防护,其他漏洞暂时没有挖到,有点菜,先记录着吧,每天进步一点,总会变强...
admin
勒索软件使用微软签名恶意Windows驱动
微软取消了多个Microsoft硬件开发者账号,原因是这些账号通过Windows Hardware Developer Program认证程序递交的驱动在获得签名之后被用于包括勒索软件在内的网络攻击。...
推特关闭追踪马斯克飞机账号
第422期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎...
v2board v.1.6.1 机场面板管理接口越权漏洞分析
前几天爆发的v2board机场面板漏洞,泄露了大量机场用户的数据。简单看了下,原理挺简单的,就是authorization使用redis缓存后没有对普通用户和管理员做鉴权。以普通用户登录成功后可以直接...
Apache Archiva 任意目录删除(CVE-2022-40309) 和 任意文件读取(CVE-2022-40308)
Apache Archiva是一个存储库管理软件,2.2.9以下版本在删除或者下载Artifact时,可以在目录或者文件名中注入目录穿越符,导致任意目录删除/任意文件读取漏洞。CVE-2022-403...
攻击者查看邮件就被溯源到家?
本文通过分享实际攻防演练中真实案例,防守方在未暴露任何敏感信息的情况下,仅通过邮件往来最终溯源到攻击方相关真实信息。作为攻击溯源技术的引子,供各位从业和爱好者交流学习。场景描述攻击者伪造邮件,称其申请...
2023钓鱼攻击思路整理~
文章来源|Ms08067安全实验室本文作者:Taoing钓鱼思路整理一、目标信息收集二、目标环境三、社交四、基础设施五、邮件邮箱信息收集六、钓鱼话术模板案例一:案例二:案例三:钓鱼案例:Chrome...