Clik here to view.
工资表竟成黑客攻击武器 Flash紧急打补丁
6月7日晚,Adobe 官方发布公告,宣布紧急发布安全补丁,修复最新被发现的Flash高危漏洞,并对发现这一漏洞利用的360核心安全高级威胁应对团队公开致谢。 作为全球最早捕获使用Flash 零日漏洞的APT攻击的安全团队,360核心安全高级威胁应对团队发现,此次进行APT攻击的黑客,构造了一个利用远程加载漏洞的Office文档,用户只要打开文档,攻击者就能够自动远程下发漏洞利用代码。...
View ArticleClik here to view.
D-Link数字签名证书遭窃,反倒成了黑客的“通行证”
数字签名的出现,曾大大加强了计算机应用使用的安全性,其复杂、独特的加密方式使得证书成为了软件的“防伪标志”,并迅速普及。 但俗话说你有张良计我有过墙梯,近年来出现了一种新的攻击方式,是通过合法数字证书对恶意软件进行签名,并进一步入侵计算机。 日前,安全研究人员发现一款新的恶意软件,该软件使用了台湾某科技公司(D-Link)的合法数字证书签名,并将其伪造成了安全应用。...
View ArticleClik here to view.
新型银行木马病毒MysteryBot Android深度分析
近日,国外某安全公司发现一种新型银行木马病毒MySteryBot Android,该病毒为银行木马LokiBot Android的变种,其恶意行为除了利用银行木马窃取金融信息外,还包括恶意监视键盘、植入勒索软件进行勒索操作。经分析发现该木马病毒已适配Android7.0和Android 8.0,一旦被恶意传播,Android7.0和Android...
View ArticleYour IoT Is Probably Not A-OK
A few weeks ago, major retailers stopped selling toys from the company CloudPets after more than 2 million recorded messages were leaked in a major security breach. Internet of things (IoT) security...
View Articlesoap注入某sql2008服务器结合msf进行提权
本帖最后由 夜莺 于 2018-6-5 11:32 编辑 原文作者:陈小兵 本文属于i春秋原创奖励计划,未经许可,禁止转载。...
View ArticleClik here to view.
代码审计之云EC电商系统 v1.2
0x00 cms简介 云EC电商系统是由一套基于php+mysql开源的、免费的电商系统软件。支付整合了支付宝三端支付(PC、手机、APP),微信三端支付(PC扫码、微信公众号、APP),银联支付。 模块化设计,可方便快捷的接入其它第三方功能。 支持微信与QQ第三方登陆 支持阿里短信、腾讯短信、创蓝短信等多个接口 物流查询,批量打印快递单和发货单,运费计算设置 销售统计、排行榜、会员统计等...
View ArticleClik here to view.
代码审计之Fiyo CMS案例分享
*本文原创作者:Mochazz,本文属CodeSec原创奖励计划,未经许可禁止转载 前言 Fiyo CMS是小型的商务电话服务及移动合作工具,由一名前职业学校学生首次开发和创建的,后者当时在RPL的SMK 10三宝垄学习。 那时他的名字不是Fiyo CMS,而是Sirion,它是Site Administration的首字母缩写。...
View ArticleClik here to view.
BUF早餐铺 | 菲律宾英雄联盟:劫持服务期“挖矿软件”已移除;种子网站海盗湾再次利用 ...
各位 Buffer 早上好,今天是 2018 年 7 月 16 日星期一,农历六月初四。今天份的 BUF 早餐内容主要有:种子网站海盗湾再次利用用户CPU挖掘门罗币;FireEye称中国黑客干预柬埔寨选举;菲律宾英雄联盟:劫持服务期“挖矿软件”已移除;提防勒索诈骗,骗子称在成人网站上有你的视频;快压回应火绒曝光流氓软件之事,称被检测的是2016年被感染的文件。...
View ArticleClik here to view.
印度黑客滥用苹果MDM:发布恶意软件窃取iPhone用户信息
思科Talos团队的安全专家近日发现了一场“高度针对性”的黑客攻击活动,攻击者使用了一种至少自2015年8月以来就一直保持活跃的移动恶意软件。安全专家认为,攻击者就位于印度该国,并且只有13部iPhone受到感染。 另外,攻击被认为是使用移动设备管理(Mobile Device...
View ArticleAustralian oil and gas industry to be first movers in adopting AI
With the "oil and gas (O&G) market influenced by several factors outside the control of companies", the "long-term competitiveness of O&G industry will depend on the use of technology",...
View ArticleClik here to view.
Metasploit实现木马生成、捆绑及免杀
一、实验说明 1. 实验简介 在一次渗透测试的过程中,避免不了使用到社会工程学的方式来诱骗对方运行我们的木马或者点击我们准备好的恶意链接。木马的捆绑在社会工程学中是我们经常使用的手段,而为了躲避杀毒软件的查杀,我们又不得不对木马进行免杀处理。本次实验我们将学习如何通过Metasploit的 msfvenom 命令来生成木马、捆绑木马以及对木马进行免杀处理。 2. 实验环境 Kali linux 3....
View ArticleClik here to view.
浅谈Arp攻击和利用Arp欺骗进行MITM
索引 arp欺骗也是很古老的渗透手段了,主要起着信息收集的作用,比如你可以利用欺骗获取对方的流量,从流量分析你认为重要的信息,例如某某账号密码。或是利用Arp攻击,切断局域网内某一用户的网络访问(单向欺骗)。下面着重讲一下中间人攻击的原理,配和实战演练分析,不对的地方,还请大家多多反馈和包涵! MITM 借用Wiki百科的一个比喻来理解MITM(中间人攻击):...
View ArticleClik here to view.
Json web token (JWT)
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT: Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC...
View ArticleClik here to view.
The Bitcoin Mag exclusive: Experts explain the best places to store your...
The world of cryptocurrencies can be a confusing place to operate. With so many headlines of major hacks , not to mention a plethora of stories of physical robberies of cryptocurrencies, knowing where...
View ArticleClik here to view.
白帽子的指南
大家好,我是剑影(Jianying),这是我的第七篇原创文章。在放暑假这期间,我一直在思索应该写什么样的文章,之前呀有很多朋友问过我,大多是在上学的,请教我一些关于挖掘漏洞方面的问题,于是我上各大平台搜索了相关文章,发现很少有讲关于挖洞的一些心得技巧,于是我想通过这篇文章来讲述一下挖洞的一些技巧,希望能够用我这一点点知识帮助到大家。我写文章很少配图,所以我会尽力用文字讲解清楚。 挖掘漏洞的自我规划...
View ArticleClik here to view.
【议题前瞻】EDR与企业安全落地的实践与思考 | 2018 SOC&EDR应用建设高峰论坛
很多企业都逐渐意识到要想把恶意攻击者完全拦截在企业环境之外不像部署防火墙和防病毒软件那么简单。现在大多数恶意攻击者都能够利用定制的恶意软件绕过传统的防病毒解决方案,所以我们需要采取更为主动强大的方法来保护端点。 近两年,EDR产品在全球信息安全行业中的热度居高不下。国外很多EDR产品趋于成熟,国内市场也慢慢进入了状态。 面对安全市场上琳琅满目的EDR产品,企业该如何选择?...
View Article2018世界杯期间,Radware Anti-DDoS防御系统为Veon客户提供了坚实保护
在于2018年6月14日开赛的世界杯期间,全球领先的网络安全和应用交付解决方案提供商Radware为俄罗斯电信巨头Veon的网络防御系统提供了强有力支持。已部署解决方案的技术支持由俄罗斯合作伙伴“AKON Technologies”LLC提供。...
View ArticleClik here to view.
寻找中国未来的安全独角兽ISC安全“创客汇”全球征集安全创新企业
随着互联网的飞速发展,网络安全的形势日趋严峻,如何让网络安全领域的优秀人才、优秀创业企业涌现出来,为网络安全乃至国家安全贡献力量就成为相关企业共同面临的课题。 从2016年起,已在中国互联网安全大会期间举办两届的创投平台活动――“ 创客汇...
View ArticleClik here to view.
Passwords Rendered Obsolete by New Security Technology
Ci 4 Cybersecurity Architecture Removes the Need for Passwords to Secure Devices and Communications WASHINGTON (BUSINESS WIRE) infOsci, LLC announced today the capability to securely send...
View Article5 tips for getting started with DevSecOps
At an increasing number of organizations, software development has been undergoing waves of change: First agile development, then DevOps and now secure DevOps, a.k.a. DevSecOps. The net gain is better...
View Article