原创 合天网安实验室 合天智汇0x01 漏洞基本信息 漏洞名称：Tomcat AJP协议漏洞CVE编号：CVE-2020-1938漏洞简介：2020年2月4日，Apache Tomcat官方发布了新的版本，该版本修复了一个...

2月20日，国家信息安全漏洞共享平台（CNVD）发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告（CNVD-2020-10487，对应CVE-2020-1938）。 绿盟科技安全研究团队第一时间对此次漏...

2020年2月24日-28日，网络安全行业盛会RSA Conference将在旧金山拉开帷幕。绿盟君相继为大家介绍了进入今年创新沙盒十强初创公司，今天为大家介绍的是：Vulcan Cyber。 一、公司...

原创 wywwzjj 合天智汇概述 安全研究员 Andrew Danau 在解决一道 CTF 题目时发现，向目标服务器 URL 发送 %0a符号时，服务返回异常，疑似存在漏洞。当 Nginx 将包含 PATH_INFO 为...

Grouper2是一款针对AD组策略安全的渗透测试工具，该工具采用C#开发，在Grouper2的帮助下，渗透测试人员可以轻松在活动目录组策略中查找到安全相关的错误配置。当然了，你也可以使用...

文档信息 编号 QianxinTI-SV-2020-0002 关键字 IE jscript.dll CVE-2020-0674 创建日期 2020年01月19日 更新日期 2020年...

大家好，我是 零日情报局。 本文首发于公众号 零日情报局，微信ID：lingriqingbaoju。  新年新气象，黑客也一样。 四周前，Citrix产品曝“雷”。高危漏洞（CVE-2019-19781）波及全球158...

近日，微软发布CVE-2020-0601漏洞公告，修补了Windows加密库中的CryptoAPI欺骗漏洞。该漏洞可被利用对恶意程序签名，从而骗过操作系统或安全软件的安全机制，使Windows终端面临被攻...

文档信息 编号 QianxinTI-SV-2020-0001 关键字 CRYPT32.DLL cryptographic CVE-2020-0601 发布日期 2020年01月15日 更新日期

最近Window系统爆一个严重的安全漏洞，该漏洞使CryptoAPI无法正确验证椭圆曲线（ECC）密码证书，攻击者可以用该漏洞欺骗证书信任链。微软已经在昨天发布了一个重要软件更新，修复该漏...

大家好，我是 零日情报局。 本文首发于公众号 零日情报局，微信ID：lingriqingbaoju。 漏洞之于网络世界，一直是杀伤力足以媲美***、核武器一般的存在。 细数2019年典型的“超级漏...

Apache换行解析、多后缀解析、以及ssl远程命令执行漏洞分析本文章适合正在利用vulhub进行漏洞复现的朋友，或者准备学习漏洞复现的朋友，大佬就可以绕过了，写的比较基础。我也是...

0x00前言 一直对模板注入漏洞懵懵懂懂，直到最近在某gayhub上瞎逛碰到一个cms，再一番操作之后找到了一个前台getshell的漏洞。由于相关要求，这里隐去这个cms的全称，就分享漏洞发...

2019年12月30日，国家信息安全漏洞共享平台(以下简称CNVD)2019年度工作会议在京举行。来自CNVD成员单位、合作伙伴、特邀厂商和白帽子代表近200人参会。绿盟科技受邀参会，并被...

Vulhub漏洞系列：struts2漏洞 S2-001 本文章适合正在利用vulhub进行漏洞复现的朋友，或者准备学习漏洞复现的朋友，大佬就可以绕过了，写的比较基础。我也是一个小白，总结一下对于vul...

 简介:僵军行动愈演愈烈前言僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络...

近日，奇安信威胁情报中心红雨滴团队结合天眼产品在客户侧的部署检测，在全球范围内率先监测到多例组合使用多个浏览器高危漏洞的定向攻击，实现了基于威胁情报和流量分析的在野现...

ThinkPHP5 5.0.x/5.1.x 远程代码执行漏洞 本文章适合正在利用vulhub进行漏洞复现的朋友，或者准备学习漏洞复现的朋友，大佬就可以绕过了，写的比较基础。我也是一个小白，总结一下...

AppWeb认证绕过漏洞（CVE-2018-8715） 本文章适合正在利用vulhub进行漏洞复现的朋友，或者准备学习漏洞复现的朋友，大佬就可以绕过了，写的比较基础。我也是一个小白，总结一下对于vulh...

HTTP走私漏洞分析1.HTTP简介：HTTP协议是Hyper Text Transfer Protocol（超文本传输协议）的缩写,是用于从万维网（WWW:World Wide Web ）服务器传输超文本到本地浏览器的传送协议。。...

日前，Cloudflare宣布开源其内部的轻型网络漏洞扫描工具Flan Scan。Flan Scan是一款基于Nmap打包的Python漏洞扫描程序。基于Nmap的开源强大，灵活性，Cloudflare利用他取代了之前...

我当时测试的时候，抓包登录的数据包，由于没有图形验证码，理所当然就可以爆破用户密码（撑腰.gif），但是发现爆破速率快的时候就会提示操作频繁，那是不是就说明防御了暴力破解漏洞呢，后...

【背景】最近Android安全隐私形势比较严峻，在曝光了Android GIF开源库漏洞之后，谷歌和三星Android系统的Camera应用被发现漏洞（CVE-2019-2234），可被用来秘密地通过拍照和录视频来...

引言ABB（ABBN: SIX Swiss Ex）是全球技术领导企业，致力于推动行业数字化转型升级。基于超过130年的创新历史，ABB以客户为中心，拥有全球领先的四大业务——电气、工业自动化、运动...

概述近日，奇安信病毒响应中心在日常样本监控过程中发现NextCry Ransomware的新进入渠道，其正在利用PHP-fpm远程代码执行漏洞（CVE-2019-11043）针对Linux服务器发起攻击尝试入侵。...

最近，卡巴斯基研究团队发现了谷歌Chrome浏览器的一个新的未知漏洞，并立即向谷歌Chrome安全团队报告了这一情况。谷歌确认存在零日漏洞，并分配编号CVE-2019-13720。谷歌发布...

背景 2019年中国国际信息通信展览会10月31日在北京开幕。开幕论坛上，工业和信息化部与三大电信运营商、中国铁塔举办5G商用启动仪式，这标志着我国5G商用进入新征程。同日，中国...

写在前面的话 在这篇文章中，我将跟大家讨论我在WhatsApp Android端应用程序中找到的一个双重释放漏洞（CVE-2019-11932），并且我会将该漏洞转变成一个远程代码执行漏洞...

原创： Xiaoleung 合天智汇 原创投稿活动：重金悬赏 | 合天原创投稿等你来SQL注入漏洞SQL注入漏洞产生原因及危害 在sql查询中很多程序员会将变量拼接入sql语句后再进行查询，这...

0x00 漏洞背景019年8月14日微软官方发布安全补丁，修复了两个Windows远程桌面服务的远程代码执行漏洞CVE-2019-1181/CVE-2019-1182，这两个漏洞影响了几乎所有目前受支持的Windo...