登陆 注册
  • Facebook OAuth框架漏洞

    lyly 2020-03-02

    我决定分析为什么在使用该“Login with Facebook”功能时总是感到不安全。由于他们使用了多个重定向URL。但是,要在Facebook中找到一个漏洞并拥有最有才能的安全研究人员,似乎并非易事。要在Facebook OAuth中找到错误,这是非常艰巨和挑战性的。但是,根据谷歌搜索和StackOverflow的说法,我发现这种方式多年来一直处于脆弱状...

  • 2020年第一波最强社工攻击--初中生冒充校长解散网课群

    googxxoogoogxxoo 2020-02-27

    近日湖北襄阳一初中学生冒充学校副校长,在聊天工具上告诉一个物理老师教育局现在严禁上网课,立即解散学校的网课群。没想到老师还真被骗了,乖乖的解散了教学群后还和这个孩子报告了,不光是这位物理老师,还有别的老师也纷纷中招。我们一起来看一下整个的聊天过程:(以上图片来源于网络)分析:目标精准:先踩点收集老师信息,有目的性和针对性的从所有老师中选择最容易,最薄弱最有可...

  • Weblogic使用ClassLoader和RMI来回显命令执行结果

    CDL路飞CDL路飞 2020-02-26

    最近在研究weblogic,执行命令没有回显,Google了一下,发现可以通过RMI来解决weblogic反序列化RCE没有命令执行结果回显,先看下基础知识。Java类Java是编译型语言,所有的Java代码都需要被编译成字节码来让JVM执行。Java类初始化时会调用 java.lang.ClassLoader 加载类字节码,ClassL...

  • Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)

    星辰星辰 2020-02-26

    Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。Ghostcat(幽灵猫) 是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connecto...

  • CVE-2019-0232 远程代码执行漏洞-复现

    CDL路飞CDL路飞 2020-02-23

    漏洞简介:该漏洞是由于Tomcat CGI将命令行参数传递给Windows程序的方式存在错误,使得CGIServlet被命令注入影响。该漏洞只影响Windows平台,要求启用了CGIServlet和enableCmdLineArguments参数。但是CGIServlet和enableCmdLineArguments参数默认情况下都不启用。漏洞影响范围:Ap...

  • CVE-2020-1938 Tomcat 文件读取/包含漏洞复现

    CDL路飞CDL路飞 2020-02-23

    0X1 漏洞概述日前,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Tomcat 中的文件读取/包含漏洞,并第一时间提交厂商修复。 2月14日,Apache Tomcat 官方发布安全更新版本,修复漏洞。2月20日,国家信息安全漏洞共享平台(CNVD)发布安全公告,该漏洞综合评级为高危,漏洞编号为CNVD-2020-10487,...

  • 当黑客拥有一台算力无限的主机,会做出哪些骚操作?

    LzersLzers 2020-02-21

    所以对于黑客而言,一台算力无限的主机应该只会影响到一个领域,那就是密码学。因为整个现代密码学的安全基础,就建立在各种计算困难问题和关于计算复杂度的假设上。比如我们假设目前的各类密码散列函数(Cryptographic Hash Function)对于经典计算机来说是单向函数(One-way Function),那么就可以利用其单向性构造各种保护方案。像是区块...

  • 漏洞预警|豆瓣日记页面存在存储型XSS

    安云安云 2020-02-21

    先Po图别在意黑界!这段时间抖音洗脑了哈哈哈具体弹窗代码<img src="111" onerror="alert('黑白网漏洞测试')">弹窗成功,测试xss接收xss.pt创建项目,并复制代码原本测试直接插入,但是实测未能接收,测试IMG标签并对链接做过修整代码,接收...

  • 我用Python找到了隔壁蹭网妹子的QQ号

    googxxoogoogxxoo 2020-02-20

    最近发现晚上有人老是在蹭网,而且严重怀疑是我的美女单身邻居,这可是千载难逢的好机会。于是我用Python轻松找到了它的QQ号,开始了我的桃花之旅......下面给大家介绍一下我是怎么做到的。1、登入路由器进行分析蹭网的信息全部都在路由器上,所以我们首先要登录路由器,去查探一下线索。果然登入路由器之后,发现有1台陌生的设备华为P30Pro在线,哈哈女神都是用高...

  • QQ安全中心 - 动态口令的生成算法

    星辰星辰 2020-02-20

    鉴于该App的服务群体是中文用户,故本篇文章不提供英文版。I won't provide English version for this article. Because the app serves for QQ users which are Chinese mainly.1. 动态口令的生成算法动态口令的生成算法和RFC6238协议类似。这里...

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.