挖洞经验 | 利用Blind XSS发现目标系统内部票据管理和防火墙登录页面
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*大家好,今天分享的Writeup是作者通过对某电子商务网站的Blind XSS测试,发现了系统内部的票据管理系统和FortiGate防火墙管理系统,漏洞最终被定义为XSS导致的信息泄露,获得了厂商 $1,250的奖励,漏洞虽然简单,但这种姿势值得学习。以下是作者的分享,出于保密原因
玩游戏的你要当心了:艺电Origin平台账户存接管漏洞
玩游戏一时爽,一直玩一直爽,这对全球数亿游戏玩家来说可能是最难戒掉的瘾了。正因如此,这些网瘾少年的韭菜恐怕能让黑客割到手软。细数那些年玩过的游戏,什么什么虐杀原形系列、战地系列、植物大战僵尸、极品飞车等等等等,只想说,总有一款你玩过:这些游戏的共同之处是都在同属Origin游戏平台。说到这个平台,还得先从美国艺电公司说起。美国艺电公司是全球著名的互动娱乐软件公司,是地位仅次于动视暴雪的第二大游戏发
漏洞预警 | 致远OA任意文件写入漏洞
一、前言致远OA系统由北京致远互联软件股份有限公司开发,是一款基于互联网高效协作的协同管理软件,在各企业机构中被广泛使用。近期致远OA系统被爆出存在任意文件写入漏洞,已经被发现在野外利用。网藤CRS/ARS产品已全面支持该漏洞的检测与验证,网藤用户可直接登陆www.riskivy.com进行验证。二、漏洞简介致远 OA 系统的一些版本存在任意文件写入漏洞,远程攻击者在无需登录的情况下可通过向 UR
【威胁通告】WebSphere远程代码执行漏洞(CVE-2019-4279)
漏洞概述5月16日,IBM官方针对WebSphere Application Server Network Deployment产品发布安全通告,通告指出该产品中存在远程代码执行漏洞,攻击者可发送精心构造的序列化对象到服务器,最终导致在服务器上执行任意代码。WebSphere Application Server是企业级Web中间件,由于其可靠、灵活和健壮的特点,被广泛应用于企业的Web服务中。由
戴尔 PC Doctor 漏洞影响1亿台 PC
PC-Doctor 是计算机诊断系统主流供应商,其产品安装在1 亿台电脑上。本周被网络安全初创公司 SafeBreach Labs 爆出其软件中的严重漏洞后,PC-Doctor 有意淡化该漏洞严重性。SafeBreach 向戴尔报告了该漏洞,后者于5月28日推出了漏洞补丁,并于6月20日发布了安全咨询。位于美国旧金山湾区的 SafeBreach 通过探测戴尔 SupportAssist 软件发现了
PC-Doctor组件存在提权漏洞,海量设备面临网络攻击风险
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。PC-Doctor是国外的一款计算机硬件检测和清理优化工具,有着相当长的应用历史,很多计算机设备生产厂商基于其组件构建了自己的计算机管理软件,并预装进设备获得了大量分发,因此本次发现的漏洞将影响全球范围内数以亿计的计算机设备。来自SafeBreach的专家发现大多数戴尔PC上预装的戴
思科修复DNA Center与SD-WAN系统重大漏洞
思科于本周四针对二项网络设备漏洞进行了修复。据悉,这两个漏洞可让攻击者登录内部服务及取得用户根权限,呼吁企业尽速升级软件。二项漏洞都是存在思科软件定义网络产品线中。首先,CVE-2019-1848发生在管理及指挥思科网络的数字网络架构中心(Cisco Digital Network, Architecture Center, DNA Center),漏洞起于DNA Center对于存取传输端口的限
Debian发布安全更新 以修复近期披露的英特尔MDS安全漏洞
Debian项目团队昨天发布了针对英特尔微代码固件的新安全更新,以修复近期披露的英特尔MDS(微架构数据采样)漏洞。今年5月14日,英特尔披露了影响旗下诸多英特尔微处理器系列的四个新安全漏洞,不过随后很快发布了缓解这些漏洞的安全升级,但并非所有处理器系列都得到了修补。此Debian项目已经发布了新版英特尔微代码固件,以缓解英特尔MDS(微架构数据采样)硬件漏洞,包括(CVE-2018-12126(
KCodes NetUSB曝漏洞 可致NETGEAR路由泄密
中关村在线消息:思科Talos安全团队近日指出,由于KCodes NetUSB内核模块出现两个漏洞,导致攻击者能够访问一些NETGEAR无线路由器型号上的敏感信息。而这些路由器的共通性则是都采用了KCodes NetUSB内核模块。虽然该模块是为每个设备定制的,但它们都包含了类似的功能。kcodes netusb.ko内核模块中存在一个可利用的信息泄漏漏洞,该漏洞至少存在于两款NETGEAR夜鹰路
Linux 爆 TCP “SACK Panic” 漏洞!N 家中招
Netflix 发现 Linux 和 FreeBSD 内核 TCP 堆栈中存在多个“严重”全漏洞,可导致服务器宕机。生产环境大量使用 linux 计算机的组织,需要紧急修补新多个补丁,以便阻止远程攻击导致系统崩毁。有三个缺陷影响 Linux 内核处理 TCP 网络的方式,一个影响 FreeBSD TCP 堆栈。CVE-2019-11477 是最严重的四个缺陷,被称作 “SACK panic”,即