-
CVE-2019-13139 - Docker构建代码执行
在今年早些时候,我在2019年的部队进行了一些研究,其中我检查了构建系统以及git如何导致安全问题,我在Docker中发现了一个与git相关的漏洞。此漏洞已被分配为CVE-2019-13139,并在Docker引擎更新18.09.4中进行了...
-
FastJson最新反序列化漏洞分析
漏洞危害:严重FastJson最新爆出的绕过方法可以通杀1.2.48版本以下所有,有传言在autotype开启的情况下可以打到1.2.57。## 解决方案:FastJson升级到最新1.2.58版本;采用默认的关闭autotype## 漏洞...
-
我如何能够破解任何Instagram帐户
这篇文章是关于我如何在Instagram上发现一个漏洞,允许我在未经许可的情况下破解任何Instagram帐户。Facebook和Instagram安全团队解决了这个问题,并奖励了我3万美元作为他们赏金计划的一部分。 Facebo...
-
CVE-2019-11581 Atlassian Jira未授权服务端模板注入漏洞
在本篇文章中,我们将对CVE-2019-11581 Atlassian Jira未授权服务端模板注入漏洞进行分析。声明:本篇文章由 77@奇安信A-TEAM原创,仅用于技术研究,不恰当使用会造成危害,严禁违法使用,否则后果自负。漏洞描述At...
-
Discuz Ml v3.x 前台Getshell姿势
0x00 受影响的版本Discuz! ML v.3.4Discuz! ML v.3.3Discuz! ML v.3.20x01 漏洞描述2019年7月11日, Discuz!ML被发现存...
-
Vulnerable Target Detection 脆弱目标检测工具1.0.0.2
脆弱目标检测工具v1.0.0.2 功能介绍#bug修复1.修复shodan 提取IP只能提取一页 原因参数填写错误。2.修复fofa vip等级较高的情况下提取ip一页。#未修复bug 1.不能在shodan 输入漏洞关键词中添加...
-
首例发生在巴西的仿冒WannaCry恶意软件
背景介绍2017年5月12日,WannaCry蠕虫在全球大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry,在数小时内横扫了近150个国家的政府机关、高校、医院等。红色的背景“桌面”席卷全球,致使多个国家...
-
“支付木马”:巨额黑产背后的操盘手
近日,360安全大脑收到1688电商平台卖家反馈,称有人伪装成平台客服,打着交易的幌子盗取资金,短短几分钟内被盗金额就高达49000元,经过排查,幕后黑手竟是一款伪装成“激活工具”的木马。一般我们网上购物时,一旦填错地址或购买数量,会跟卖家...
-
“桃色陷阱”——网络色情软件揭秘
通过色情内容来引流已经是许多黑灰产的常用手段,比如最常见的小广告弹窗、只有特殊渠道能访问的色情网站、某某美女视频资源等,都是裹着糖衣的炮弹,实际是黑客特意制作等着用户上钩的诱饵。依据《中华人民共和国网络安全法》、《互联网信息服务...
-
漏洞分析 | Discuz! ML V3.X 代码注入漏洞
Discuz!ML V3.X 代码注入分析代码来源:http://discuz.ml/download作者:Web安全组-CoolCat漏洞定位在PoC的代码中填充'.1.'使得代码出错,定位出错代码文件:代码报错根据报错跟...
