2025-01-06 厉飞雨 阅读(332) 评论(0) 赞(15)

前言 --- **EternalBlue（永恒之蓝）据称是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的模块，由于其涉及漏洞的影响广泛性及利用稳定性，在被公开以后为破坏性巨大的勒索蠕虫 WannaCry所用而名噪一时。360威胁情报中心对于WannaCry的活动持续地进行着监控，我们看到的趋势是 WannaCry的感染量还在增加，说明作为蠕虫主要传播手段的Etern...

2025-01-06 厉飞雨 阅读(419) 评论(0) 赞(19)

安全服务工作中，漏洞的跟踪管理，应该是让大多数安全服务人员都头疼的事。业务系统少还好，一个Excel表格就解决了，而面对数十个不同的业务系统，邮件、报告满天飞，Excel大法就行不通了，报告整理、漏洞复测确认常常让人精疲力尽。DefectDojo正是一款解决漏洞管理之痛的开源工具，DefectDojo可将各种漏洞报告（Nessus、Nmap、Burp等）汇总分析，对漏洞的确认、...

2025-01-06 厉飞雨 阅读(383) 评论(0) 赞(18)

安全服务工作中，漏洞的跟踪管理，应该是让大多数安全服务人员都头疼的事。业务系统少还好，一个Excel表格就解决了，而面对数十个不同的业务系统，邮件、报告满天飞，Excel大法就行不通了，报告整理、漏洞复测确认常常让人精疲力尽。DefectDojo正是一款解决漏洞管理之痛的开源工具，DefectDojo可将各种漏洞报告（Nessus、Nmap、Burp等）汇总分析，对漏洞的确认、...

2025-01-06 厉飞雨 阅读(296) 评论(0) 赞(21)

概述 --- 最近我们的一名安全托管客户反应，其服务器遭受到攻击，被黑客上传了webshell并篡改网页内容。经过我们为客户安装云锁防护软件后，拦截到一个针对海洋CMS（SEACMS）的0day漏洞。 海洋CMS是一套专为不同需求的站长而设计的视频点播系统，在影视类CMS中具有很高的市场占有率，其官方地址是：<http://www.seacms.net/> 海...

2025-01-06 厉飞雨 阅读(331) 评论(0) 赞(19)

0×00 概述 ------- **9月29日，Discuz修复了[一个前台任意文件删除的漏洞](http://www.freebuf.com/vuls/149762.html)，相似的漏洞曾在2014年被提交给wooyun和discuz官方，但是修复不完全导致了这次的漏洞。** 0×01 影响范围 --------- Discuz \< 3.4 0×02 漏洞重...

2025-01-06 厉飞雨 阅读(281) 评论(0) 赞(16)

**本周一安全研究员 Hanno Böck 发现，部分 Apache 服务器可能因 Optionsbleed 漏洞（CVE-2017-9798）泄漏服务器内存信息。实际上这个漏洞和 OpenSSL 的心脏滴血问题有相似的地方，攻击者都可以查询服务器并向Apache服务器骗取数据。目前该漏洞原因已经探明，评级为中危，影响的范围有限，运行 Apache Web 服务器的用户请升级至...

2025-01-06 厉飞雨 阅读(349) 评论(0) 赞(19)

0×01 关于orient db数据库 ------------------- OrientDB是一个开源NoSQL数据库管理系统。 NoSQL数据库提供了一种用于存储和检索引用除表式数据之外的数据（例如文档数据或图形数据）的NO关系或非关系数据的机制。 NoSQL数据库越来越多地用于大数据和实时Web应用程序。 NoSQL系统有时也被称为"Not Only SQL...

2025-01-06 厉飞雨 阅读(301) 评论(0) 赞(19)

**近日，国外安全人员披露了一个该工具存在远程代码执行漏洞的视频，Burp Suite 官方在推特上对此回复：视频证据并不充分，并有可能是伪造的。** Burp Suite ---------- Burp Suite是一个集成化的渗透测试工具，它集合了多种渗透测试组件，使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中，我们使用Burp Suite...

2025-01-06 厉飞雨 阅读(344) 评论(0) 赞(16)

**如果你在使用具有蓝牙功能的设备，不管是智能手机、笔记本电脑，还是智能电视、智能汽车或者其他 IoT 设备，都要小心了。最近研究人员发现蓝牙协议中有 8 个 0-day 漏洞，其中有 3 个被列为严重级别。这些漏洞可能会影响 53 亿智能设备，Android、iOS、Windows、Linux 系统的设备以及 IoT 设备等只要使用了蓝牙技术，就有可能中招。** **![蓝...

2025-01-06 厉飞雨 阅读(211) 评论(0) 赞(14)

**在评估漏洞影响时，人们关注的往往是漏洞风险，而实际上，漏洞潜伏的时间也是一个非常重要的因素。时间跨度大，也就意味着在此期间使用这些含有漏洞的软件的设备更多，影响的设备就更多；而时间跨度长，也就意味着被利用的概率也会更高。因此，潜伏的时间长短也应该是一个重要的因素，今天就大家细数那些潜伏多年的漏洞。** 5年：Stagefright漏洞 ---------------- ...