登陆 注册
  • 如何将XSS漏洞从中危提升到严重

    小威小威 2019-05-24

    当你在提交一个XSS漏洞之前,应该想办法寻找一切可以利用它来提高严重性的办法。我的报告中记录了时下流行的平台,如Wordpress和Drupal的一些武器化的javascript Payload。并且我将在接下来的几周内添加更多内容。就像往常一样,我每天都会从Twitter的推送中看到XSS漏洞未充分发挥最大危害的文章。今天也不例外,我不想点名批评,我们暂且...

  • 一款针对Profinet协议漏洞渗透的工具

    windosacwindosac 2019-05-23

    PROFINET由IP国际组织推出,是新一代基于工业以太网技术自动化总线标准,PROFINET-DCP是发现和基本配置协议,用于标识与查询有无指定IP地址节点,然后配置IP地址、默认网关、子网掩码。DCP是标准的PROFINET功能,可以读写设备与网络地址相关参数。由于只能在一个局域网中使用,通过实时通道传输,使用DCP协议可以实现不需要额外组态工程操作就能...

  • weblogic CVE-2019-2647等相关XXE漏洞分析

    安云安云 2019-04-20

    背景按照惯例,Oracle发布了4月份的补丁,详情见链接(https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html#AppendixFMW )一看就是一堆漏洞,高危的还好几个。CVSS 评分为9.8的暂且不分析,我们先来看看wsee模块下的几个XXE漏洞,都是给的...

  • 卡巴斯基报告:70% 的黑客攻击事件瞄准 Office 漏洞

    安云安云 2019-04-17

    据美国科技媒体ZDNet援引卡巴斯基实验室报告称,黑客最喜欢攻击微软Office产品。在安全分析师峰会(Security Analyst Summit)上,卡巴斯基表示,分析卡巴斯基产品侦测的攻击后发现,2018年四季度有70%利用了Office漏洞。而在2016年四季度,这一比例只有16%。黑客瞄准的不同平台比例卡巴斯基还说,利用最多的漏洞没有一个来自Of...

  • 专家发现漏洞后是否公示?新报告称已沦为黑客挥向用户的屠刀

    安云安云 2019-04-17

    是否公开发布安全漏洞(尤其是零日漏洞)的概念验证(PoC)代码历来是备受争议的话题。在代码公开之后往往会被威胁攻击者所利用,在数天乃至数小时内发起攻击,导致终端用户没有充足的时间来修复受影响的系统。而公开这些PoC代码的并非坏人或者其他独立来源,而是理论上更应该保护用户的白帽安全研究人员。围绕着这个争议做法的话题已经持续多年时间,而信息安全领域的专家分成两派...

  • DCOMrade:一款枚举DCOM应用漏洞的PowerSHell脚本

    LzersLzers 2019-03-16

    今天给大家介绍的是一款名叫DCOMrade的工具(PowerShell脚本),各位研究人员可利用该工具来枚举存在漏洞的DCOM应用程序。DCOMradeDCOMrade是一款PowerShell脚本,该脚本可枚举可能存在漏洞的DCOM应用程序,广大研究人员可利用该脚本实现横向渗透、代码执行和数据提取等操作。该脚本基于PowerShell 2.0开发,但理论上...

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.