一、 漏洞概述近期,挪威一家安全公司(Promon)披露了一个Android任务栈劫持漏洞。该漏洞影响所有的安卓版本,包括最新的安卓10,研究人员同时发现有36个恶意app正在利用该漏洞,同时top 500的app都处于危险中。虽然Google已经从Google Play中删除了这些恶意app,但是该漏洞目前还没有被修复。StrandHogg漏洞利用安卓多任务系统中的弱点来使恶意app可以伪装成设
转载: 360APP漏洞扫描常见漏洞漏洞名称: Log敏感信息泄露漏洞描述: 程序运行期间打印了用户的敏感信息,造成泄露修改建议: 建议禁止隐私信息的log漏洞名称: web https校验错误忽略漏洞漏洞描述: 漏洞可导致中间人攻击修改建议: 建议不要忽略ssl认证错误漏洞名称: sql注入漏洞漏洞描述: 漏洞可能导致用户数据库中的信息泄露或者篡改修改建议: 建议使用安全sq...
原创
2022-11-04 11:40:14
53阅读
一、跨站脚本漏洞概述1、漏洞概述XSS漏洞一直是web漏洞中危害比较大的漏洞,在OWASP TOP10中一直是排在前三的。XSS是一种发生在Web前端的漏洞,所以其危害的对象也主要是前端用户。XSS通常可以用于带钓鱼、前端JS挖矿、获取用户cookie等。甚至结合浏览器自身漏洞可以对用户主机进行控制。2、攻击流程(窃取cookie)用户访问XSS页面,触发XSS脚本,服务器返回“带恶意JS的”页面
1. SQL 注入SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。原因当使用外部不可信任的数据作为参数进行数据库的增、删、改、查时,如果未对外部数据进行过滤,就会产生 SQL 注入漏洞。比如:name ="外部输入名称";sql = "select * fr
原创
2022-08-01 23:22:37
308阅读
一.Activity漏洞越权绕过漏洞原理: 没有对调用activity的组件进行权限验证,就会造成验证的安全问题。防护:1. 私有activity是相对安全的,设置exported为false。2. 公开ac
转载
2023-07-25 19:54:15
104阅读
近日,挪威一家APP安全公司Promon发现并报道了安卓系统的一个特性漏洞已经被多个恶意应用利用的分析报告,他们通过监测发现该漏洞使恶意软件可以伪装成任何合法应用程序,从而使黑客可以访问私人短信和照片,窃取受害者的登录凭据,跟踪位置或记录电话对话,甚至可以通过手机摄像头和麦克风进行监视。当然,前提是恶意应用得被人安装。具体功效如下图所示,他们将该漏洞命名为StrandHogg,这是北欧人的一种北欧
转载
2023-09-08 16:55:59
17阅读
总结下web 常见的几个漏洞
1.SQL注入
2.XSS跨站点脚本
3.缓冲区溢出
4.cookies修改
5.上传漏洞
6.命令行注入
原创
精选
2016-09-05 15:37:16
6616阅读
近期国内爆出的 Android WebView 安全会导致大量应用成为管道。危及超过 90% 的安卓手机,当用户通过存在的 APP 打开挂马网页后,可被大规模利用,包括远程操控手机窃取隐私、扣费等。根据上网快鸟联合创始姜向前的介绍,该的原理是在 Android 的 SDK 中封装了 WebView 控件,该控件可以和使用它的应用程序结合的更加紧密,在页面内允许 JavaSc
0x00 背景这几天在zone看到了有人提及了有关于common-collections包的RCE漏洞,并且http://zone.wooyun.org/content/23849给出了具体的原理。作为一个业余的安全研究人员,除了会利用之外,还可以探究一下背后的原理。0x01 原理Java反序列化导致的漏洞原理上和PHP反序列一样,也是由于用户的输入可以控制我们传入的对象。如果服务端程序没有对用户
Android常见名称: Log敏感信息泄露描述: 程序运行期间打印了用户的敏感信息,造成泄露修改建议: 建议禁止隐私信息的log 名称: web 校验错误忽略描述: 可导致中间人修改建议: 建议不要忽略ssl认证错误 名称: sql注入描述: 可能导致用户数据库中的
转载
2023-07-17 22:33:21
46阅读
JAVA常见的XXE漏洞写法和防御貌似最近经常看到有Java项目爆出XXE的漏洞并且带有CVE,包括Spring-data-XMLBean XXE漏洞、JavaMelody组件XXE漏洞解析、Apache OFBiz漏洞。微信支付SDK的XXE漏洞。本质上xxe的漏洞都是因为对xml解析时允许引用外部实体,从而导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。a
转载
2023-07-23 01:04:40
260阅读
主要对AppScan的安装、漏洞扫描以及报告生成进行了说明,是一个简易的操作描述
很多公司对软件会有安全的要求,一般测试公司会使用安全漏洞扫描工具对软件进行漏扫,然后给出安全报告,然后软件开发人员会根据提供的安全报告进行漏洞的处理。我们接触到的测评公司,使用的是漏洞扫描工具AppScan,这里介绍一下AppScan的安装使用,以及安全报告的生成。1漏扫工
转载
2023-07-31 20:44:12
0阅读
了解有关网络安全漏洞的更多信息、它们与网络威胁的区别、九种常见类型的网络安全漏洞以及如何防范这些漏洞。
网站是网络访问的基本入口,随着互联网的发展越来越快,网站的弊端就逐步呈现,大大小小的漏洞,黑客通过这些漏洞对网站发起攻击 ,往往造成的后果不堪现,大大小小的漏洞,黑客通过这些漏洞对网站发起攻击 ,往往造成的后果不堪设想。下面一 起认识一- 下常见的几大漏洞。
1、SQL注入漏洞
SQL是网站存在最多也是最常见的漏洞,黑客可以利用该漏洞得到管理员的权限,在网站上挂木马和各种恶意程序或者直接控制服务器
原创
2022-09-29 15:02:00
204阅读
任意文件上传漏洞文件上传漏洞(File Upload Attack)是由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件,并能够将这些文件传递给 PHP 解释器,就可以在远程服务器上执行任意PHP脚本。一套web应用程序,一般都会提供文件上传的功
原创
2013-09-02 00:00:26
4521阅读
点赞
