登陆 注册
  • 企业安全实战:看快手如何干掉Fastjson

    Guy_PsychoGuy_Psycho 2020-08-13

    从2017年1月份到现在,Fastjson已出现三次无任何条件限制的远程代码执行漏洞。    文/廖新喜Fastjson 漏洞史Fastjson是一个阿里巴巴开发的java高性能JSON库,应用范围非常广,在github上star数已经超过2.2万。从2017年1月份到现在,Fastjson 已出现三次无任何条件限制的远程代码...

  • 2020上半年公共互联网网络安全态势及威胁监测处置报告

    Guy_PsychoGuy_Psycho 2020-08-13

    本报告从互联网网络安全监测数据分析、互联网网络安全状况特点、网络威胁治理工作开展情况三方面,分析并总结了2020年上半年公共互联网络安全监测及威胁处置情况。                一、2020年上半年我国互联网网络安全监测数据分析(一)2020年上半年威胁监测情况综述...

  • Chrome浏览器爆漏洞:攻击者可绕过安全机制窃取用户数据

    Guy_PsychoGuy_Psycho 2020-08-13

    谷歌的Chrome浏览器中存在安全漏洞,攻击者可利用该漏洞绕过网络的内容安全策略(CSP),进而窃取用户数据并执行流氓代码。谷歌的Chrome浏览器中存在安全漏洞,攻击者可利用该漏洞绕过网络的内容安全策略(CSP),进而窃取用户数据并执行流氓代码。PerimeterX网络安全研究人员Gal Weizman表示,该漏洞编号为CVE-2020-6519,...

  • CNCERT:我国境内超1.78万亿条数据存在泄露风险

    Guy_PsychoGuy_Psycho 2020-08-13

    CNCERT排查发现,我国大量数据库存在数据泄露隐患,共涉及20720个数据表、1330.3TB数据量、1.78万亿余条数据。CNCERT发布《2019年中国互联网网络安全报告》,其中专门对我国境内数据库隐患排查及处置情况进行公布,据安全内参分析:CNCERT针对境内的MongoDB、ElasticSearch、MySQL及Redis等数据库进行排查,发现大...

  • Windows Type1字体处理远程代码执行漏洞 (CVE-2020-0938) 在野POC分析

    Guy_PsychoGuy_Psycho 2020-08-12

    研究员在日常的高级威胁监控中发现,疑似CVE-2020-0938漏洞的在野POC出现在VirusTotal上,我们在发现该POC的第一时间内便对安全社区进行了预警。漏洞背景及在野POC2020年4月,奇安信威胁情报中心红雨滴团队对微软通告的Windows Adobe Type 1漏洞CVE-2020-0938进行了相关通告。自此,红雨滴团队一直保持着...

  • 微软8月安全更新修复120个漏洞,含2个已被利用的0day

    Guy_PsychoGuy_Psycho 2020-08-12

    其中一个是Windows文件签名欺骗漏洞CVE-2020-1464,另一个是IE脚本引擎内存损坏漏洞CVE-2020-1380。   微软发布2020年8月补丁星期二,共修复了13款不同产品中的120个漏洞。其中,17个漏洞的严重程度为“严重”,其余103个为“重要”级别。同时,其中还含有2个已遭利用的 0day。第一个 0day本月修复的其中一个0day...

  • 黑客偷理财平台5千余万,判无期!

    Guy_PsychoGuy_Psycho 2020-07-12

    由上海市人民检察院第一分院提起公诉的一起利用黑客技术侵入第三方支付平台计算机系统盗窃案近日宣判。站在法庭被告席上的黎一,眼神不时瞟向公诉人面前的笔记本电脑,手指不由自主地弹跳几下。在他手里,笔记本电脑是一架“神器”,用它通过网络侵入重重设防的理财平台的“金库”系统,可以“吐”给自己数千万的钞票。而其在检察官的操作下却犹如抛出一条条锁链令其罪行昭彰。攻克重重壁...

  • CVE-2020-1457/1425: Microsoft Windows 编解码器库远程执行代码漏洞

    Guy_PsychoGuy_Psycho 2020-07-02

    CVE-2020-1457/1425: Microsoft Windows 编解码器库远程执行代码漏洞0x00 漏洞背景  2020年07月01日, 360CERT监测发现 Microsoft官方 发布了 Microsoft Windows 编解码器库远程执行代码漏洞 的风险通告,该漏洞编号为 CVE-2020-1457和CVE-2020-1425 ,漏洞等...

  • 入侵星巴克并访问近1亿客户记录

    Guy_PsychoGuy_Psycho 2020-06-28

    经过一整天的尝试并未能在Verizon Media错误赏金计划中找到漏洞,我决定将其退出并做些琐事。我需要为朋友的生日买礼物,然后上网订购了星巴克的礼品卡。当尝试在星巴克网站上购买它时,我不禁注意到许多API调用立即引起了可疑。在以“/bff/proxy/”为前缀的API下发送的请求返回的数据似乎来自另一台主机。由于星巴克有一个漏洞赏金计划,并且那天那天我的...

  • 汗!四年了,乌云往事

    Guy_PsychoGuy_Psycho 2020-06-23

    一晃乌云关四年了,今天又看这个公告,很感慨!乌云网(WooYun.org)是由80SEC安全团队创始人剑心创立的安全漏洞报告平台,存在于2010到2016年,以安全社区为基础培养了一大批新生代白帽子,促进了国内安全行业的快速发展,在安全圈绝对足举足轻重的存在。TSRC作为国内第一家企业自建漏洞报告平台,与剑心及乌云亦有交集,以此纪念。2010年,还在百度安全...

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.