英特尔CPU漏洞可致侧信道攻击
安全研究人员发现了两种攻击英特尔处理器的方式,可从CPU受信任执行环境(TEE)中获取敏感信息。第一种方式是今年初发现的CacheOut攻击(CVE-2020-0549)的变体,攻击者可以从CPU的L1缓...
Read More安全研究人员发现了两种攻击英特尔处理器的方式,可从CPU受信任执行环境(TEE)中获取敏感信息。第一种方式是今年初发现的CacheOut攻击(CVE-2020-0549)的变体,攻击者可以从CPU的L1缓...
Read More2020年6月10日,奇安信威胁情报中心中心监测到永恒之蓝下载器木马再度更新,木马在原有SMBGhost漏洞监测模块的基础上,新增漏洞利用模块。此外还新增Redis数据库爆破模块。SMBGho...
Read More作者:紫色仰望合天智汇前言 格式化字符串漏洞 具有 任意地址读,任意地址写。printf printf --一个参数:情况1 //gcc -g -m32 fmt.c -o fmt #includestdio.h> #includestdlib.h>...
Read More攻击者使用了未知的SQL注入漏洞针对Sophos防火墙发起攻击,该漏洞可通过防火墙远程代码执行。攻击中使用了一系列Linux Shell脚本,下载了为防火墙操作系统编译的恶意软件。该漏...
Read More近日,研究人员发现著名的交通安全设备制造商SWARCO出产的交通信号灯控制器存在一个严重漏洞,可能已被黑客利用,将破坏整个城市的红绿灯信号。 被操纵的交通信号灯SWARCO是一家...
Read More系列文章内容纲要第一章 渗透测试简介第二章 前期交互第三章 信息收集第四章 漏洞识别第五章 社会工程学第六章 有线/无线网络利用第七章 基于应用的漏洞利用第八章 基于本...
Read More外媒报道,研究人员 Bhavuk Jain 在四月份发现了一个严重的「使用 Apple 登录」漏洞,该漏洞可能导致某些用户帐户被接管。值得一提的是,这个 Bug 特定于使用“通过Apple登录”功...
Read More2020年6月3日,国家信息安全漏洞共享平台(CNVD)正式上线区块链漏洞子库CNVD-BC(https://bc.cnvd.org.cn/)。CNVD区块链漏洞子库由国家互联网应急中心运营,当前已收录区块链相关漏...
Read More有人的地方就有江湖,有互联网的地方就有漏洞,互联网上漏洞的爆发速度正在以我们想象不到的速度增加。对于组织来说,安全的目标是把风险降低到一个可以接受的水平,而风险是由威胁...
Read More作者:s1mple-safety合天智汇前言 phar反序列化漏洞很久之前就开始接触了;因为当时出了点问题导致一直无法成功,所以当时直接去学习其他的漏洞了;今天觉得是时候把这个漏洞补上去...
Read More近日,绿盟科技发布《漏洞发展趋势报告》,以NVD为数据源,对1999-2019年的漏洞数据进行回顾分析,结合绿盟威胁情报中心监测到的漏洞利用攻击事件,从通用系统、软件的漏洞呈现情况,总...
Read More概述近日,奇安信病毒响应中心在日常黑产挖掘过程中发现一个新型木马架构,该架构主要出现在全球华语地区,作者疑似具有中文背景。该木马架构的免杀效果非常好,采用压缩文件中放置...
Read More为保障自身产品和业务的安全,进一步提升安全防护能力,诸多厂商上线应急安全中心,网安爱好者可通过其平台提交漏洞,也因此可获得相应奖励。那么漏洞挖掘的技巧该怎么把握?本周五晚...
Read More零信任架构是美创数据安全实践的核心遵循思想。美创从数据不应该自动信任任何人的基本观点开始,从2010年开始实践,在2015年左右正式形成了零信任架构1.0版本,在美创科技的每个...
Read More该栏目为中科天齐软件安全中心全新规划的悟空云课堂,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为OS命令注入漏洞的相关介绍。...
Read More该栏目为中科天齐软件安全中心全新规划的悟空云课堂,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为可逆的单向哈希漏洞的相关介绍...
Read More该栏目为中科天齐软件安全中心全新规划的悟空云课堂,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为路径遍历漏洞的相关介绍。 路...
Read More该栏目为中科天齐全新规划的悟空云课堂,=旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为URL重定向(跳转)漏洞的相关介绍。 URL重定...
Read More该栏目为中科天齐软件安全中心全新规划的悟空云课堂,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为OS命令注入漏洞的相关介绍。 0...
Read More作者:Qftm合天智汇Bypass-Session限制 LFI-Base64Encode 很多时候服务器上存储的Session信息都是经过处理的(编码或加密),这个时候假如我们利用本地文件包含漏洞直接包含恶意ses...
Read More公有链:是指全世界任何人都可以随时进入到系统中读取数据、发送可确认交易、竞争记账的区块链。例如:比特币、以太坊。 私有链:是指其写入权限由某个组织和机构控制的区块链...
Read More5月8日,绿盟科技主办了题为“新基建大潮下的漏洞安全观”的直播论坛,线上解读新基建背景下隐藏的各类漏洞风险,深度剖析“新基建”风口下的安全挑战,邀请多位专家围绕国家政策支...
Read More网络威胁情报(CTI)在关键战略和战术中有着重要地位,CTI可跟踪,分析和确定软件漏洞等级,分析漏洞可能会对组织,员工和客户造成的威胁。FireEye Mandiant威胁情报强调了CTI在漏洞管...
Read More5月8日14:00绿盟科技“新基建大潮下的漏洞安全观”线上直播重磅来袭扫码报名,我们不见不散!接入方式1. 直播采用微吼平台,扫描海报二维码或点击以下网址http://live.vhall.com/...
Read More作者:Qftm合天智汇绕过姿势 我们平常很多时候碰到的情况肯定不会是简单的include $_GET['file'];这样直接把变量传入包含函数的。在很多时候包含的变量/文件不是完全可控的。...
Read More2018年年底的中央经济工作会议提出“加快5G商用步伐,加强人工智能、工业互联网、物联网等新型基础设施建设”,新基建的概念由此产生,并被列入2019年政府工作报告。2020年4月20...
Read More作者:Qftm 合天智汇接上一篇:https://www.freebuf.com/column/235054.html包含Session 在了解session包含文件漏洞及绕过姿势的时候,我们应该首先了解一下服务器上针对用户会...
Read More2020年4月14日,Exploit DB公布了一个针对Edimax WiFi桥接器的远程执行漏洞的利用(EDB-ID:48318),绿盟科技格物实验室结合绿盟威胁情报中心(NTI)对相应设备的暴露情况进行验证,发...
Read More作者:Qftm 合天智汇前言 这个手册主要是记录针对PHP文件包含漏洞的利用思路与Bypass手法的总结。相关函数 四个函数 php中引发文件包含漏洞的通常主要是以下四个函数:1、inclu...
Read More大家好,我是 零日情报局。本文首发于公众号 零日情报局,微信ID:lingriqingbaoju。 网络不完美,漏洞永不消,但既不意味着安全无迹可寻,也不代表闻洞即慌。 最近,Forbes新闻称有...
Read More