安全网站

安全网站
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
众测｜饿了么合作伙伴众测活动第一期开启！活动
挖洞天使降临！MiSRC双倍金币活动开启！活动
|Nexus Repository Manager 3 远程代码执行漏洞 (CVE-2019-7238) 分析及利用
Previous
Next
最新文章
知识
资讯
招聘
活动
安全周报

SRC
众测｜饿了么合作伙伴众测活动第一期开启！
SRC 众测饿了么白帽子活动
生态合作伙伴是饿了么的重要一环，他们的安全性与饿了么广大用户的安全性息息相关，我们正在积极与生态合作伙伴一起改善互联网安全生态环境。本次活动主要为改善饿了么服务商合作伙伴的互联网安全生态环境。
安全客饿了么安全应急响应中心 2019-02-19 16:05:11 1974次阅读
缓冲区溢出
ARM汇编之堆栈溢出实战分析四(GDB)
缓冲区溢出 arm
这是最后一个实例stack6的分析实战过程，中间跳过了两个例子，他们的解决思路在前面每个例子的尾部EXP的构造、实现中已经得到了体现，就不再写一些重复的内容，今天主要带来的是几个新技巧：ret2zp，通过这两中技术来绕过栈保护机制。
安全客勤学奋进小郎君 2019-02-19 16:00:28 稿费： + 600 2819次阅读
威胁情报
盲眼鹰（APT-C-36）：持续针对哥伦比亚政企机构的攻击活动揭露
威胁情报 APT 恶意活动
从2018年4月起至今，一个疑似来自南美洲的APT组织盲眼鹰（APT-C-36）针对哥伦比亚政府机构和大型公司（金融、石油、制造等行业）等重要领域展开了有组织、有计划、针对性的长期不间断攻击。
安全客 360威胁情报中心 2019-02-19 14:33:15 5639次阅读 4
Python
从两道CTF实例看python格式化字符串漏洞
Python Web安全代码安全
pyhton中，存在几种格式化字符串的方式，然而当我们使用的方式不正确的时候，即格式化的字符串能够被我们控制时，就会导致一些严重的问题，比如获取敏感信息
安全客 Hu3sky 2019-02-19 14:30:48 稿费： + 600 6245次阅读
xss
Typora XSS 到 RCE（下）
xss Web安全 RCE Typora
上一篇文章讲了我通过黑盒测试从输出点入手挖到的 Typora 可以导致远程命令执行的XSS，并分析了漏洞原因。那么今天就讲一下我从代码入手挖到的另外两个XSS。
安全客 Li4n0 2019-02-19 11:30:28 稿费： + 600 10462次阅读
网络安全
分析TLS 1.3降级攻击以及主要TLS库中的漏洞
网络安全 TLS
我们披露了几个TLS库中发现的漏洞，我们的攻击方式是针对这些实现的缓存访问时序利用侧信道泄漏，从而攻破TLS实现的RSA密钥交换。在本文中，我将主要讨论协议级别的漏洞利用。
安全客 P!chu 2019-02-19 10:30:36 稿费： + 200 9518次阅读
安全资讯
2月19日每日安全热点 - APT-C-36: 针对哥伦比亚政府机构和公司的持续攻击
安全资讯安全热点网络安全热点每日安全热点
APT-C-36: 针对哥伦比亚政府机构和公司的持续攻击；如何攻击目标Facebook账户?让它打开个链接就行了；Malcom：一款功能强大的图形化恶意软件通信分析工具；拒绝超长函数，从两个 curl 远程漏洞说起。
安全客 360CERT 2019-02-19 09:45:56 9679次阅读
漏洞分析
【缺陷周话】第22期：错误的内存释放对象
漏洞分析代码审计代码安全
代码审计是使用静态分析发现源代码中安全缺陷的方法，能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题，防患于未然，已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
安全客 360代码卫士 2019-02-18 18:34:48 13426次阅读
安全活动
新课特惠 | 一文读懂人工智能、机器学习、深度学习、强化学习的关系
安全活动人工智能机器学习深度学习强化学习
根据应用领域的不同，人工智能研究的技术也不尽相同，目前以机器学习、计算机视觉等成为热门的AI技术方向。安全客联手安全牛课堂为大家带来了新年课程特惠，快来了解下吧~
安全客安全牛课堂 2019-02-18 17:49:11 11995次阅读
MiSRC
挖洞天使降临！MiSRC双倍金币活动开启！
MiSRC 挖洞小米安全双倍金币
MiSRC双倍金币活动来了！成功提交在指定范围的漏洞,将会获得双倍金币奖励！本次活动测试范围包括但不限于web端、移动端、小程序、公众号等。
安全客小米安全中心 2019-02-18 17:15:58 11945次阅读
漏洞分析
CVE-2018-19134：通过Ghostscript中的类型混淆来远程执行代码
漏洞分析 Ghostscript
在这篇文章中，我将展示如何利用CVE-2018-19134漏洞远程执行任意代码。该漏洞是由类型混淆引起的。2018年11月，该漏洞被发现。如果你想了解更多关于QL技术相关文章，可以翻看我以前的博客。
安全客我爱南木 2019-02-18 15:30:29 稿费： + 300 23721次阅读
安全报告
1月政企终端安全态势分析报告
安全报告企业安全
《政企终端安全态势分析报告》是“360终端安全实验室”定期发布的针对政企网络终端的安全态势分析报告。报告数据来自 360 企业安全公有云安全监测数据。
安全客 360威胁情报中心 2019-02-18 15:19:45 15739次阅读
CTF
FireShellCTF2019 babyheap 详细题解
CTF
前两天做了一下 Fireshell 的 pwn 题，难度貌似也不是很大，做了一下堆的 babyheap，这里把详细的解题思路记录一下，很多都是自己在学习堆过程中的一些总结，希望能给同样在入门堆利用的朋友们一些启发。
安全客 H4lo 2019-02-18 15:00:51 稿费： + 600 15765次阅读
linux
Snapd Ubuntu 提权分析
linux 系统安全 snap
想了想，最末分析过的 linux 平台漏洞还是 “脏牛”。近半年多一直在搞其他方面，许久没做漏洞分析了，正好有个提权漏洞换换脑子。
安全客 360CERT 2019-02-18 14:54:38 17857次阅读 1
漏洞分析
Typora XSS 到 RCE (上)
漏洞分析 xss Web安全 RCE Typora
在去年的12月份，我在知乎上看到了一篇名为《如何在Typora编辑器上实现远程命令执行》的文章。因此我决定要深入挖掘一下，看看 Typora 是否还有其他漏洞。
安全客 Li4n0 2019-02-18 14:35:49 稿费： + 600 22290次阅读
漏洞分析
Nexus Repository Manager 3 远程代码执行漏洞 (CVE-2019-7238) 分析及利用
漏洞分析远程代码执行
最近1年多基本上都在忙实验室其它的工作，基本上很少关注JAVA安全这块的内容，赶上正好周末休息，加上实验室其它小伙伴对这个漏洞比较关注索性就抽出一点时间跟实验室其它小伙伴一起研究了下，就当学习了。
安全客 360观星实验室 2019-02-18 12:16:47 98754次阅读 2
恶意软件
2018年Android恶意软件专题报告
恶意软件 Android 移动安全
本文为2018年Android恶意软件年度专题总结报告。
安全客 360烽火实验室 2019-02-18 11:30:37 19198次阅读
云安全
CloudGoat云靶机 Part-3：利用AWS Lambda函数提权
云安全
本文将描绘当攻击者拥有用户Joe和Bob的访问密钥，但EC2实例停止服务的情形。如果你是第一次阅读本系列文章，你不知道什么是CloudGoat以及Joe和Bob到底是谁，那么我建议你先阅读本系列的第一部分。
安全客 Hulk 2019-02-18 10:30:10 稿费： + 280 17703次阅读
安全资讯
2月18日每日安全热点 - IDN Visual Security Deep Thinking
安全资讯安全热点网络安全热点每日安全热点
IDN Visual Security Deep Thinking；BlueHatIL 2019议题：Life as an iOS Attacker；offensivecon19议题：fuzzing for JavaScript engines；CVE-2019-7222：KVM中未初始化的内存泄露漏洞披露。
安全客 360CERT 2019-02-18 09:51:39 14551次阅读 3
安全资讯
2月17日每日安全热点 - Facebook CSRF保护绕过，导致帐户接管
安全资讯安全热点网络安全热点每日安全热点
Facebook CSRF保护绕过，导致帐户接管；DCOMrade - 用于枚举易受攻击的DCOM应用程序的Powershell脚本；勒索软件攻击目标MSP以大规模感染客户。
安全客 360CERT 2019-02-17 10:00:56 23661次阅读
安全早知道
瑞典270万医疗健康敏感信息暴露超6年
5小时前
澳大利亚总理称其联邦议会网络遭到恶意攻击
5小时前
Avast研究员发现多阶段恶意软件Rietspoof
5小时前
Google尝试修改API利用以防止Chrome隐身模式被检测
1天前
FINRA（经济监管组织）针对近期钓鱼邮件发布安全警告
1天前
微软商店现挖矿应用因虚假刷量无法确定实际影响规模
1天前
约会应用在情人节出现数据泄露是故意为之还是刻意为之
4天前
Google拒掉了超过50%的安卓应用但仍无法控制安全问题
4天前
8家公司亿条数据在暗网上出售
4天前
Cisco出现安全问题可导致通过旧密码登陆
5天前
OpenOffice 0day漏洞目前已发布微补丁
5天前
恶意软件Shlayer伪装为Flash广泛传播
5天前
黑客挖掘漏洞反被起诉或面临8年监禁
18天前
Basecamp遭爆破攻击事后迅速解决攻击账号
18天前
Google部分API库失效导致有些服务停运数小时
18天前
Youtube消息功能被大规模利用作诈骗活动
19天前
Google Play百万下载应用收集用户照片并推送色情广告
19天前
Office 365新的隐私与合规使得安全响应能力再次提高
20天前
安全研究表明大规模勒索软件攻击可造成巨大动荡
20天前
Facetime被曝存在安全隐患可实现远程监视
21天前
安全类开源项目精选

输入安全周报订阅邮箱
最新专题

2019-01-31 11:04:59
安全客2018季刊第四季 | 重新定义智能时代的“IoT安全”
投稿须知
寻求合作
活动赛事
更多
众测｜饿了么合作伙伴众测活动第一期开启！
2019-02-21 10:00

阿里联合国际知名顶会IJCAI发起AI对抗竞赛
2019-03-04 10:00

活动 | 第三届安胜网络安全技术峰会（2018 ASTC）即将启幕！
2019-1-10 10:00

最新漏洞
更多
mIRC Remote Command Execution - CXSecurity.com
CVE-2019-6453 2019-02-19
Master IP CAM 01 3.3.4.2103 Remote Command Execution - CXSecurity.com
CVE-2019-8387 2019-02-19
Apache CouchDB 2.3.0 Cross Site Scripting - CXSecurity.com
2019-02-19
CMSsite 1.0 post.php SQL Injection - CXSecurity.com
2019-02-19
qdPM 9.1 Cross Site Scripting - CXSecurity.com
CVE-2019-8391 CVE-2019-8390 2019-02-19
活跃作者
360CERT
360CERT是360成立的针对全球重要网络安全事件进行快速预警、应急响应的安全协调中心。
《 2月19日每日安全热点 - APT-C-36: 针对哥伦比亚政府机构和公司的持续攻击》
興趣使然的小胃
肥叶好香锅，孜孜不倦
《 Dirty Sock：Ubuntu提权漏洞分析》
360威胁情报中心
《盲眼鹰（APT-C-36）：持续针对哥伦比亚政企机构的攻击活动揭露》
360代码卫士
360代码卫士是国内第一家专注于软件开发安全的产品线，产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向，分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题
《【缺陷周话】第22期：错误的内存释放对象》
Hulk
《 CloudGoat云靶机 Part-3：利用AWS Lambda函数提权》

文章评论