波兰的一家安全公司近日揭示批漏了30个Java云服务的0day漏洞和相应利用代码,这些漏洞允许客户在其服务器集群上部署Java应用程序。 该公司在一月底二月初的时候,已经向Oracle递交了这些漏洞及有关的PoC代码,并且确认他们已经收到了报告。截至2月末的时候,Oracle的月度报告中报告了相关问题,告 ... 全文 »
CVE-2020-26896:闪电网络被曝安全漏洞:
闪电网络是运行在比特币、以太坊这样的基于区块链的加密货币之上的支付协议,旨在加速区块链交易的速度。闪电网络官网现实,利用闪电网络就行区块链交易无需担心区块的确认时间,支付的速度在毫秒到秒级。
闪电网络的开发团队近日公布了该加密货币协议和软件实现中的多个安全漏洞详情,攻击者利用这些漏洞可以通过拦截智能合约来引发DoS 攻击或破坏加密货币交易。
漏洞详情
这些漏洞最早是在今年 ... 全文 »
1、简介 如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因。但这种方式能防住攻击者吗?HttpOnly标志可以防止cookie被“读取”,那么能不能防止被“写”呢?答案是否定的,那么这里面就有文章可做了,因为已证明有 ... 全文 »
世界最大网络设备供应商之一的思科公司向客户发出了安全警告,OpenSSL的Heartbleed安全漏洞不只是影响Web服务器,至少还有13款产品发现存在Heartbleed漏洞,其中包括了IOS XE操作系统,Juniper也相应发布声明称存在问题。 由于为网络设备打上补丁要比Web服务器要困难得多,所以 ... 全文 »
大约14年前发现一直到现在的0day 是IIS4\IIS5的漏洞,对应操作系统是winnt和win2000系统,微软不再支持这些软件,他们的策略想淘汰这些系统,11年报告后微软决定不再修补。算是很严重的漏洞,只是影响的软件现在使用率相对比较低,但总量也不少。 具体漏洞详细信息如下: IIS加载CGI环境块 ... 全文 »