51工具盒子
在补丁上戳个洞——利用已经被修复的漏洞实现IE沙箱逃逸
**作者: FlowerCode@腾讯玄武实验室** english version:https://xuanwulab.github.io/2015/08/27/Poking-a-Hole-in-the-Patch/ 0x00 The Problem ================ *** ** * ** *** James Forshaw在2014年11月曾向微软...
网络安全
在线支付逻辑漏洞总结
### 0x00 背景介绍 *** ** * ** *** 随着网民越来越习惯于网上购物,出现了越来越多的电商网站,在线交易平台等。 其中肯定要涉及在线支付的流程,而这里面也有很多逻辑。 由于这里涉及到金钱,如果设计不当,很有可能造成0元购买商品等很严重的漏洞。 ### 0x01 检测方法与案例 *** ** * ** *** 根据乌云上的案例,支付漏洞一般可以分...
针对性攻击与移动安全漏洞
本文为2013年5月18日在乌云北京沙龙所做报告的部分摘要。文章所述观点仅代表本人,不代表本人所在企业或其他组织。 一、引言 ---- *** ** * ** *** 移动客户端的漏洞在当前并未受到重视。 从用户的角度来说,对移动软件安全中的反病毒、软件漏洞和软件版权这三个方面并不能很好的区别开;甚至安全企业、安全组织和机构、安全研究人员在移动领域也经常滥用"...
微信曝远程任意代码执行漏洞,可被远程控制
**近日,360手机卫士阿尔法团队(AlphaTeam)独家发现微信远程任意代码执行漏洞,将其命名为badkernel。360手机卫士阿尔法团队发现,通过此漏洞攻击者可获取微信的完全控制权,危及用户朋友圈、好友信息、聊天记录甚至是微信钱包,可使上亿微信用户受到影响,危害巨大。目前,阿尔法团队的相关研究人员已经将此漏洞报告给腾讯应急响应中心并提供了修复建议。** [![微信曝远...
自制分布式漏洞扫描
0x00 前言 ------- *** ** * ** *** 在渗透测试和安全扫描工作中,发现越来越多站点部署了应用防护系统或异常流量监控系统,其中包括:WEB应用防火墙(软件WAF、硬件WAF、云WAF)、入侵检测系统、入侵防御系统、访问监控系统等。很多防护系统不仅可实时检测攻击和拦截,并且具备自动阻断功能。当系统检测到某些IP在特定时间段内产生大量攻击行为时会开启阻断...
三星支付存在漏洞可导致黑客进行交易劫持
[![三星支付存在漏洞可导致黑客进行交易劫持_https://www.tiejiang.org_漏洞播报_第1张](http://static.51tbox.com/static/2024-12-23/col/7d06200aec6af08d9ad73dc773455691/8e2a306136d04d94a428bf66db7792c8.jpg.jpg "三星支付存...
苹果真土豪:找出其系统漏洞最高奖励20万美元
8月5日消息,据国外媒体报道,在黑帽网络安全大会上,苹果高管表示,该公司将向找到其软件漏洞(iOS系统等)、硬件缺陷的研究人员支付最多20万美元的奖金。 [------大多数电子设备中都存在的一种核心组件中的某种非常严重的漏洞。随着驱动器中在每个单独的DRAM芯片上的存储容量的提升,造成了其自身严重的漏洞,其允许攻击者把DRAM中比特位的值从1改成0,或翻转为相反的数值。这一基于硬件的攻击能够绕过核心系统保护...
漏洞披露模式的法理与价值:记乌云白帽大会圆桌论坛
前不久,一名白帽子因在第三方漏洞平台提交世纪佳缘网漏洞涉案一事,在业内引起轩然大波,各方面相关人士对事件的看法不尽相同,争议四起。 在近日举行的乌云白帽大会上,包括法律、安全、公安、互联网公司、电子取证、漏洞收集平台、白帽子、媒体等8位不同领域的专家就世纪佳缘事件涉及的相关法律问题进行了深入探讨。现将此次讨论的内容编辑整理如下: 论坛主持:安全牛主编李少鹏 论坛嘉宾: ...
KVM虚拟化新型漏洞CVE-2015-6815技术分析
**云计算业务目前已经触及到多个行业,无论是云存储,云音乐等生活中随处可见的业务,就连银行金融,支付信息等服务也都和云紧密相关。** 作为云服务的基础,虚拟化系统扮演着非常重要的角色,因为在云生态中主机的硬件多是由虚拟化系统模拟出来的。虚拟化系统中的安全漏洞将严重影响云业务的安全。 360虚拟化安全团队(MarvelTeam)近日发现了多个虚拟化软件安全漏洞,使用kvm和x...
