2025-01-06 厉飞雨 阅读(341) 评论(0) 赞(14)

0×00 背景 ------- 年前Fuzzing暴风影音时，得到一个avi格式poc样本，MSEC插件提示Exploitable，一直拖到现在才把整个分析过程整理出来。最后虽然无法成功利用，但总算搞清楚了漏洞产生的原因。期间自己也悟出了一些漏洞分析的基本思路，细细品味，甚是欢喜。故总结成文，希望能和大家共同探讨漏洞分析奥妙之一二。不当之处，敬请指正。 0×01 漏洞现场还...

2025-01-06 厉飞雨 阅读(280) 评论(0) 赞(13)

**很多人不知道，安全是黑产都需要重视的话题。就在上周，大型暗网市场Hansa借鉴了许多公司的普遍做法，发布了漏洞赏金计划，奖励金额最高可达10比特币，约合1万美元。** Hansa发布的这个奖励计划，既是害怕执法机关的查处（对网站所有者及其用户身份的曝光），也是害怕其他黑客前来搅和，从这个层面来说，在暗网做生意还真是比一般的电商处境艰难许多。Hansa分别在网站和社交新闻站...

2025-01-06 厉飞雨 阅读(279) 评论(0) 赞(12)

**[![有了漏洞扫描器，如何用好？一点不成熟的小总结_https://www.tiejiang.org_固若金汤_第1张](http://static.51tbox.com/static/2024-12-22/col/053ee7e02a414613a6fb1b23fdecb8ab/0c77dbce3c8b422ea5445a706e84060d.jpg.jpg "...

2025-01-06 厉飞雨 阅读(325) 评论(0) 赞(14)

**本文讲述了利用不安全的加密存储（Insecure_Cryptographic_Storage）漏洞和服务端反射型XSS漏洞，实现对麦当劳网站（McDonalds.com）注册用户的密码窃取，进一步测试，还可能获取到网站注册用户的更多信息。** POC-利用反射型XSS漏洞绕过AngularJS框架沙箱 ----------------------------- 麦当劳网...

2025-01-06 厉飞雨 阅读(286) 评论(0) 赞(14)

![Snuck：一款自动化XSS漏洞扫描工具（含下载）_https://www.tiejiang.org_站长之家_第1张](http://static.51tbox.com/static/2024-12-22/col/c8f8d8134e1e621c58ee71b713983ccf/35ddd4c874024e7daded6e9a7ff757c2.png.jpg "...

2025-01-06 厉飞雨 阅读(360) 评论(0) 赞(13)

[![网传支付宝被曝光「熟人可以篡改密码」致命漏洞？_https://www.tiejiang.org_漏洞播报_第1张](http://static.51tbox.com/static/2024-12-22/col/e3dcb012fc989e4b04ff5e4123415b45/53948afa9687423d923c950acb78fc6b.png.jpg "网...

2025-01-06 厉飞雨 阅读(322) 评论(0) 赞(17)

[![爱尔兰数万宽带Moderm存在漏洞可被远程入侵控制_https://www.tiejiang.org_环球新闻_第1张](http://static.51tbox.com/static/2024-12-22/col/64ebf210681961cd227d8b3c677caaca/adbd90b79e6743cfbe07db5a227f9368.jpg.jpg "...

2025-01-06 厉飞雨 阅读(361) 评论(0) 赞(13)

近日，国家信息安全漏洞库（CNNVD）收到蚂蚁金服巴斯光年安全实验室关于广升FOTA系统升级服务存在命令执行漏洞（CNNVD-201611-438）的情况报送。广升FOTA官方对上述漏洞已发布升级公告。由于上述漏洞影响范围广，危害级别高危，国家信息安全漏洞库（CNNVD）对此进行了跟踪分析，情况如下： **一、漏洞简介** ---------- FOTA（Firmware ...

2025-01-06 厉飞雨 阅读(444) 评论(0) 赞(15)

**近日，腾讯电脑管家发现一个可疑脚本被创建为启动项，通过分析和搜索相关信息，发现大量网友反馈，重现了中毒场景。该蠕虫传播原理如下：** > 1， 蠕虫作者上传带蠕虫的魔兽地图，并以该地图创建房间吸引其他玩家进入房间游戏； > > 2， 玩家进入房间后，就会自动下载该地图，并进行游戏后，触发魔兽地图里恶意脚本。脚本利用漏洞成功在启动目录创建loil.bat脚本...

2025-01-06 厉飞雨 阅读(392) 评论(0) 赞(15)

前言：zip压缩格式应用广泛，各个平台都有使用，Windows平台使用来压缩文件，Android平台使用来作为apk文件的格式。由于zip文件格式比较复杂，在解析zip文件格式时，如果处理不当，可能导致一些有意思的逻辑漏洞，本篇文章将挑选有意思的漏洞进行解析。 一、文件扩展名欺骗漏洞 =========== *** ** * ** *** 很早之前，国外安全研究人员[爆料...