黑客利用PDF生成器窃取WEB服务器上的文件

0

TCPDF PDF生成器是当今最流行的用于创建PDF文档的PHP库之一,同时也是当今最热门的开源项目之一。它每天拥有数百万用户使用量,其载体一般为CMS程序或者其他WEB应用。然而,黑客利用TCPDF的一个漏洞,可以轻松从WEB服务器上窃取文件。 漏洞利用场景 1、Alice是一个网店的老板,她会发给客户一张PDF文档作为收据,上面写明了采购情况和买家信息。 2、这时,有个叫Chuck的攻击者注意到,Alice忘了在写入PDF文档之前,给“客户名字”这一栏的 ... 全文 »

Cisco(思科)半年度补丁日:修复大量IOS漏洞

0

Cisco(思科)于本周三发布了操作系统的补丁更新,这是思科固定每半年一次的补丁更新日,下一次更新可能就要等到9月份了。此次总共更新了16个安全漏洞,主要是DOS漏洞和interface wedge漏洞。 漏洞简述 ‍‍漏洞一:远程攻击漏洞‍‍ 在思科IOS和IOS XE 自主网络基础设施上存在一个较为严重的安全问题,攻击者可以远程的使路由器或者交换机崩溃,甚至还可以控制住被感染的设备。 ‍‍漏洞二:验证不足‍‍ 由于响应信息中的不充足验 ... 全文 »

企业IT系统安全性提升困难的六个原因

0

企业安全性之最佳实践早已广为人知,但为什么绝大多数企业仍然无法真正实现?就在去年,Target公司CEO及CIO在遭遇到有史以来规模最大的支付卡信息窃取案件后相继宣布辞职,这也标志着又一个历史转折性时刻的到来:终于,企业中的高层管理人员意识到了安全问题的严重性与迫切性。不考虑安全保障所带来的严重后果已经昭然若揭。 自那时开始,更多数据泄露事件以层出不穷之势覆盖了各大媒体的头条:Michaels、PF Cahng’s、美国社区卫生系统、UPS、Dairy Quee ... 全文 »

在HTML5移动应用中挖掘XSS漏洞

0

Linus(@_zulln)是一位有着15年漏洞挖掘经验的瑞士黑客,本文就是他写的。 现在使用HTML5开发移动APP越来越受欢迎。HTML5不仅开发效率高,而且可以跨平台,代码重用性也很高。Zoho(全球第一大在线软件提供商,总部位于美国)是一个有着1300万用户的HTML5邮件系统,我打算挖挖他们的漏洞。 寻找Html和Javascript代码 首先我从Google Play上下载了APK,用解压软件打开。 assets文件夹中有很 ... 全文 »

Mozilla官方火速修复Pwn2Own比赛上公开的火狐浏览器漏洞

0

3月18日,全球顶级黑客大赛Pwn2Own2015在加拿大温哥华拉开战幕,各路大神各显神通,Mariusz Mlynski在极短的时间内攻破了火狐浏览器,获得30000美元的巨额奖金。而Mozilla官方在比赛结束之后立即开发补丁,于昨天发布的Firefox 36中修复了此次比赛中公布的2个高危漏洞。 漏洞一 Mozilla定义第一个漏洞为代码执行漏洞。根据安全研究人员ilxu1a的报告,火狐浏览器JavaScrip‍‍t just-in-time com ... 全文 »

重打包的安卓应用是如何绕过杀毒软件盗取你QQ的

0

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 本文的阅读对象是具有一定Android开发经验,想进一步提升自我的Android开发人员。这里只上核心代码。 一、买菜 1、下载安装好最新版的“QQ安全中心”— QQSecV6.2.apk ,我们将利用它重新打包来伪装正版软件,盗取QQ号和密码。 2、下载安装好360手机卫士、腾讯管家,我们将介绍如何规避这些软件的查杀。 二、种菜 1、新建一 ... 全文 »

返回顶部