很多人经常喜欢下载一些扫描软件,这扫扫,那扫扫,自然也扫出很多“高危”。看到这些高危,你是不是有点小紧张呢?那么看完这篇文章,你会了解这Oracle patch的原理,也就豁然了。针对常见的扫描软件,Oracle官方明确表达,不授权和认可任何第三方软件的扫描结果。而事实上,扫描软件,也真的没有做到高大上的功能,它们并没有技术能力发现Oracle软件自身的。很多都是在
转载
2024-05-17 09:42:39
35阅读
2019年第三季度以来,我们SINE安全,APP漏洞检测中心发现许多APP被检测出含有高危漏洞,包括目前漏洞比较严重的SIM卡漏洞以及安卓端、IOS端漏洞,根据上半年的安全检测以及漏洞测试分析发现,目前移动APP软件漏洞的发展速度上涨百分之30,大部分的APP漏洞都已被商业利用以及窃取用户隐私信息,造成APP软件的数据泄露,数据被篡改,等等。我们来统计一下目前发现的APP漏洞:第一个是就是SIM卡
转载
2023-09-16 14:35:53
49阅读
周三,苹果发布了45个补丁,修补iPhone和iPodTouch中存在的安全漏洞。这些补丁都包含在新推出的iPhone3.0系统中。
同时发布如此多的补丁出人意料,不过苹果在设备安全上还是有着良好的声誉。自从2年前苹果进入移动市场后,分析师还未发现任何瞄准iPhone的病毒。华尔街的分析师表示,他们对此消息并不担心。
设备漏洞不仅是苹果有,很多科技公司都在忙于对付日益狡猾的黑客,每次暴
转载
精选
2009-06-19 21:58:40
492阅读
一、前言目前在业界有很多自动化检测APP安全性的在线扫描平台。为了了解目前国内移动APP在线漏洞扫描平台的发展情况,我进行了一次移动安全扫描平台的评测分析;主要从漏洞项对比、扫描能力对比以及扫描结果这三个方向来对比。希望此次的调研结果可以为读者提供更加可靠的安全漏洞扫描服务建议。二、分析对象这一章主要介绍需要对比的扫描平台和需要测试的APP样本。2.1 对比平台扫描平台网址阿里聚安全漏洞扫描htt
转载
2024-03-12 14:38:52
744阅读
Android 用户要注意了,最近各个厂商应该会有一个新版本的补丁发布,用于修复一个高严重性漏洞,该漏洞无需额外的。
原创
2024-03-16 16:17:00
0阅读
简单来说可以这么理解preg_replace('正则规则','替换字符','目标字符')若目标字符存在符合正则规则的字符,那么就替
原创
2024-03-04 14:10:26
256阅读
0x00 *法律法规的必要科普话不多说,先上图:0x01 漏洞挖掘难易的介绍1.漏洞的挖掘现在大致分为三种类型,从易到难分别是:从易到难的难度的区分在于:参考 积分相关证书奖励、 cnvd等原创报送证书、 补天等漏洞平台的项目奖金想拿到一个原创的cnvd还是得下一定的时间(大佬忽略)0x02 edu漏洞挖掘思路介绍edu的漏洞挖掘方向分为两种:常规挖掘、定点挖掘(一)、常规安全挖掘:常规安全便是使
攻击者可以通过修改请求的目标地址,将请求发送到内部网络或其他受信任的服务器上,从而绕过防火墙和访问控制。2. 攻击内
原创
2024-03-03 01:15:01
165阅读
本周(1126至1202)安全方面值得关注的新闻集中在漏洞攻击、恶意软件和威胁趋势方面。
漏洞攻击:IBM警告Lotus Notes存在远程代码执行漏洞;客户端及应用漏洞在SANS 2007年威胁表占据前列;关注指数:高
新闻1:周四,IBM当天发布安全公告称,它的企业电子邮件软件
Lotus Notes中存在一个远程代码执行漏洞,攻击者将可
转载
2024-05-14 22:08:54
78阅读
墨者学院-X-Forwarded-For注入漏洞实战前言: 刷题之前看到X--Forwarded-For,之前也了解过一点,又去百度了一下,原来X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、
转载
2024-01-19 14:30:31
383阅读
一、HTTP协议HTTP是一个基于请求与响应模式的、无状态的应用层协议。 常基于TCP的连接方式 ,即http是将数据打包成TCP数据包来进行传送的,绝大多数Web应用,都是构建在HTTP协议之上,即目前使用浏览器访问web网站都是以http协议为标准的。1、HTTP协议工作原理客户机与服务器建立连接后,浏览器可以向web服务器发送请求并显示收到的网页,当用户在浏览器地址栏中输入一个URL或点击一
转载
2023-07-31 20:43:18
60阅读
RCE(remote command/code execute)概述RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。RCE分为远程连接命令执行ping和远程代码执行evel命令木马。远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个p
转载
2023-11-12 13:58:44
106阅读
0x00 远程代码执行 - 介绍1)什么是远程代码执行远程命令执行 英文名称:RCE (remote code execution) ,简称RCE漏洞,是指用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。2)远程代码执行的特点远程代码执行是指攻
转载
2023-11-29 13:08:31
251阅读
前段时间,小编就给各位小伙伴分享过一个苹果的 WiFi 漏洞,就是把自己家的 WiFi 昵称设置成“%p%s%s%s%s%n”,连接后就会导致 iPhone 手机的 WiFi 功能崩溃,想要解决只能还原网络设置。
然而在近日,发现上述 WiFi 漏洞的安全工程师 Carl Schou 声称自己又发现了一个更严重的漏洞。
他在社交媒体上这样描述的:如果你的 iPhone 手机连接一个昵称为“
转载
2021-07-13 13:57:04
105阅读
谈谈手机验证码的安全漏洞与利用EEE嘶吼专业版一、背景手机验证码往往是面对用户的重点业务,那么本期就关于手机验证码所出现的安全问题,做个小小总结,文章如有不完善之处,欢迎各位同学共同交流讨论。二、短信轰炸网上之前会曝出一些关于“短信轰炸机”的新闻。举两个生活中的小场景:你在淘宝上给了别人差评,随后几天遭到若干天的短信轰炸。你工作/上学时,跟某些人闹了矛盾,事后半夜你遭到各种电话轰炸。原理解析:下面
原创
2021-04-16 06:34:47
755阅读
2014年,手机支付安全的状况越加不容乐观。而Android系统漏洞却加剧了这一现状。2014年2月18日,国内漏洞报告平台乌云公布紧急预警称,淘宝和支付宝认证被爆存在安全缺陷,黑客能够简单利用该漏洞登陆他人淘宝/支付宝账号进行操作,不清楚是否影响剩余金额宝等业务。 MasterKey漏洞 2013
原创
2021-08-06 16:00:31
109阅读
解析漏洞:指一些特殊文件被iis apache nginx某种情况解释成脚本文件格式的漏洞 一,is解析漏洞: 1,目录解析:在网站下建立文件夹名字为:xxx.asp,.asa的文件夹,其目录内的任何拓展名文件都会被iis当作asp文件去解析执行 被当作asp文件去执行的话,不管他改不改名都可以拿s ...
转载
2021-09-12 17:31:00
400阅读
2评论
前言 上一篇文章中,对逻辑漏洞进行了简单的描述,这篇文章简单的说一说逻辑漏洞中的越权漏洞。 参考文献《黑客攻防技术宝典Web实战篇第二版》 什么是越权漏洞? 顾名思义,越权漏洞就是由于设计上的缺陷对应用程序的权限做的不好。通俗点来说,就是用户A可以通过某种方式查看到用户B的个人信息,或者可以查看管理
原创
2021-04-27 18:34:22
1889阅读
jQuery基础信息jQuery简介jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 jQuery是一个JavaScript UI框架,它为许多DOM操作
转载
2023-08-27 14:54:28
379阅读
如果你认为HTTP2.0协议比标准HTTP(超文本传输协议)更安全,那你就错了。有研究人员花费4个月的时间在HTTP2.0协议中发现4个漏洞!去年2月,谷歌把自家的SPDY项目捆绑进HTTP2.0,意在加强网页加载速度和用户的在线浏览体验。三个月后HTTP2.0正式发布,HTTP2.0如今已成为大部分网站最主要的HTTP协议版本。来自Imperva(一家全球领先的新型数据应用安全的技术领导者和知名
转载
2024-05-06 13:26:17
39阅读
