英特尔CPU漏洞可致侧信道攻击

安全研究人员发现了两种攻击英特尔处理器的方式,可从CPU受信任执行环境(TEE)中获取敏感信息。第一种方式是今年初发现的CacheOut攻击(CVE-2020-0549)的变体,攻击者可以从CPU的L1缓...

Read More

格式化字符串漏洞及利用_萌新食用

作者:紫色仰望合天智汇前言 格式化字符串漏洞 具有 任意地址读,任意地址写。printf printf --一个参数:情况1 //gcc -g -m32 fmt.c -o fmt #includestdio.h> #includestdlib.h>...

Read More

Sophos防火墙0day漏洞分析(一)

攻击者使用了未知的SQL注入漏洞针对Sophos防火墙发起攻击,该漏洞可通过防火墙远程代码执行。攻击中使用了一系列Linux Shell脚本,下载了为防火墙操作系统编译的恶意软件。该漏...

Read More

国家级区块链漏洞子库(CNVD-BC)正式上线

2020年6月3日,国家信息安全漏洞共享平台(CNVD)正式上线区块链漏洞子库CNVD-BC(https://bc.cnvd.org.cn/)。CNVD区块链漏洞子库由国家互联网应急中心运营,当前已收录区块链相关漏...

Read More

漏洞管理系统建设浅议|企业漏洞库建模要素

有人的地方就有江湖,有互联网的地方就有漏洞,互联网上漏洞的爆发速度正在以我们想象不到的速度增加。对于组织来说,安全的目标是把风险降低到一个可以接受的水平,而风险是由威胁...

Read More

浅析phar反序列化漏洞攻击及实战

作者:s1mple-safety合天智汇前言 phar反序列化漏洞很久之前就开始接触了;因为当时出了点问题导致一直无法成功,所以当时直接去学习其他的漏洞了;今天觉得是时候把这个漏洞补上去...

Read More

《漏洞发展趋势报告》发布(附下载)

近日,绿盟科技发布《漏洞发展趋势报告》,以NVD为数据源,对1999-2019年的漏洞数据进行回顾分析,结合绿盟威胁情报中心监测到的漏洞利用攻击事件,从通用系统、软件的漏洞呈现情况,总...

Read More

SRC漏洞挖掘捡漏经验

为保障自身产品和业务的安全,进一步提升安全防护能力,诸多厂商上线应急安全中心,网安爱好者可通过其平台提交漏洞,也因此可获得相应奖励。那么漏洞挖掘的技巧该怎么把握?本周五晚...

Read More

悟空云课堂 | 第五期:OS命令注入漏洞

该栏目为中科天齐软件安全中心全新规划的悟空云课堂,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为OS命令注入漏洞的相关介绍。...

Read More

悟空云课堂 | 第四期:可逆的单向哈希漏洞

该栏目为中科天齐软件安全中心全新规划的悟空云课堂,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为可逆的单向哈希漏洞的相关介绍...

Read More

悟空云课堂 | 第二期:URL重定向(跳转)漏洞

该栏目为中科天齐全新规划的悟空云课堂,=旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为URL重定向(跳转)漏洞的相关介绍。 URL重定...

Read More

悟空云课堂 | 第一期:什么是SQL注入漏洞?

该栏目为中科天齐软件安全中心全新规划的悟空云课堂,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为OS命令注入漏洞的相关介绍。 0...

Read More

火眼0day漏洞利用研究(一)

网络威胁情报(CTI)在关键战略和战术中有着重要地位,CTI可跟踪,分析和确定软件漏洞等级,分析漏洞可能会对组织,员工和客户造成的威胁。FireEye Mandiant威胁情报强调了CTI在漏洞管...

Read More

“新基建大潮下的漏洞安全观”直播大揭秘

5月8日14:00绿盟科技“新基建大潮下的漏洞安全观”线上直播重磅来袭扫码报名,我们不见不散!接入方式1. 直播采用微吼平台,扫描海报二维码或点击以下网址http://live.vhall.com/...

Read More