2025-01-06 厉飞雨 阅读(203) 评论(0) 赞(16)

#### **你明知道自己的安全体系存在薄弱环节，可是却很难知道从哪里开始入手，本文也许可以帮助你走上正轨。** <br /> 大多数公司经常使用安全漏洞扫描软件来清查计算机资产。其想法是，你运行扫描软件后，按危急程度列出每台计算机上的众多安全漏洞，然后逐一修复，因而让贵公司更难被黑客攻击。 只可惜，这种想法很少最后成为现实。本人参观的每家公司最后列出了一长串...

2025-01-06 厉飞雨 阅读(241) 评论(0) 赞(19)

5月29日，本周早些时候，iPhone用户发现他们的手机在通过iMessage服务接收一条包含特殊字符的短信后，会导致Messages应用崩溃。 苹果周五在官方网站发布了一个支持文档，详细说明了上述问题的解决方法。苹果在该文档中表示，接收过这种特殊短信的iPhone用户需要完成以下步骤，使用Siri来解锁Messages应用： 1.指令Siri"读取未读邮件&qu...

2025-01-06 厉飞雨 阅读(292) 评论(0) 赞(16)

新发现的漏洞可能让1200万家用住宅区网络网关设备遭受攻击，危及家庭网络以及可能波及到在这些网络中传输的所有业务数据。 ![家用路由器被爆安全漏洞 1200万设备面临风险_https://www.tiejiang.org_固若金汤_第1张](http://static.51tbox.com/static/2024-12-23/col/e9485dd9213057f878ac9...

2025-01-06 厉飞雨 阅读(256) 评论(0) 赞(17)

最近有安全研究人员报告LIFX灯泡存在漏洞，黑客可以在距离灯泡30米内获取灯泡连接的WIFI密码。LIFX灯泡使用aes加密wifi密码，其加密密钥是固定的，通过特殊方式获得密钥之后就可以解密wifi的密码。目前LIFX已经发布安全升级公告。 LIFX灯泡是可以由Wi-Fi控制的智能多色LED灯泡，售价99美元。LIFX曾创下Kickstarter众筹平台有史以来最成功的融资...

2025-01-06 厉飞雨 阅读(344) 评论(0) 赞(16)

**环境** 系统版本:CentOS 6.5 x86_64 yum源：163 ### 一、漏洞介绍 今天早上新闻，网络专家周三警告称，他们在广泛使用的Linux软件Bash中新发现了一个安全漏洞。该漏洞对电脑用户构成的威胁可能比今年4月发现的"心脏流血"(Heartbleed)漏洞更大。Bash是一款软件，被用于控制众多Linux电脑上的命令提...

2025-01-06 厉飞雨 阅读(303) 评论(0) 赞(20)

<br /> 本文是一个安全漏洞相关的科普，介绍安全漏洞的概念认识，漏洞在几个维度上的分类及实例展示。 [![科普：安全漏洞的概念及分类_https://www.tiejiang.org_windows运维_第1张](http://static.51tbox.com/static/2024-12-23/col/8ff775857dfda4648f4b3e077f...

2025-01-06 厉飞雨 阅读(361) 评论(0) 赞(20)

关键字：CVE-2014-0038，内核漏洞，POC，利用代码，本地提权，提权，exploit，cve analysis, privilege escalation, cve, kernel vulnerability 简介 2014年1月31号时，solar在oss-sec邮件列表里公布了该CVE（cve-2014-0038）。这个CVE涉及到X32 ABI。X32 AB...

2025-01-06 厉飞雨 阅读(293) 评论(0) 赞(16)

当今云计算和大数据可谓是炙手可热的话题，IT以及互联网业界对于云计算也是呼声很高，用户的期望值也是普遍较高，任何一家云计算提供商的业务成功与否绝大多数取决于供应商在云端帮助客户解决了何种云计算安全问题以及云计算安全的担忧。现在很多人都在谈高度的虚拟化技术以及多租户环境这些字眼，笔者看来这些词语还仅仅停留在信仰层面上，云计算的开源的同时不仅会吸引大量用户的涌入，当然，也为黑客病毒...

2025-01-06 厉飞雨 阅读(242) 评论(0) 赞(18)

**一、注入漏洞简介** 注入漏洞是web应用中最常见的安全漏洞之一，由于一些程序没有过滤用户的输入，攻击者通过向服务器提交恶意的SQL查询语句，应用程序接收后错误的将攻击者的输入作为原始SQL查询语句的一部分执行，导致改变了程序原始的SQL查询逻辑，额外的执行了攻击者构造的SQL查询语句，从而导致注入漏洞的产生。 攻击者通过SQL注入可以从数据库获取敏感信息，或者利用数据...

2025-01-06 厉飞雨 阅读(189) 评论(0) 赞(16)

最近几天金山和新浪又相继推出了SRC(安全应急响应中心)，目前国内排的上号的互联网公司大部分都有了自己的漏洞收集报告平台(有人问，就一个漏洞报告平台，为什么要取名应急响应中心呢?高端大气上档次吗?)。 **提交漏洞与奖励** 上月26日参加京东安全沙龙，在最后的讨论环节，刺总(@aullik5)提了几个比较有意思的问题，其中一个大致意思是"白帽子把漏洞提交给第三方...