Detours信息泄漏漏洞受影响的软件及系统Detours3.0和之前版本号简单介绍与该漏洞相关的最早描写叙述可见于tk教主发现的“微软EMET破坏系统ASLR安全机制漏洞”(參考[1]),事实上原理是一样的。都是由于使用了Detours库的原因。漏洞危害非常多安全软件出于安全考虑,会把非常多模块注...
转载
2015-12-17 19:40:00
246阅读
2评论
一、漏洞简述
Apache Log4j2 是一款开源的 Java 日志记录工具,大
量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提
供的 lookup 功能造成的,该功能允许开发者通过一些协议
去读取相应环境中的配置。但在实现的过程中,并未对输入
进行严格的判断,从而造成漏洞的发生。
二、影响范围
受影响的版本如下:
Lo
转载
2024-05-26 17:53:26
198阅读
1.1. 漏洞介绍
由于网站管理员运维不当,可能会将备份文件、数据库配置文件等敏感文件存放在WEB目录下公开访问,攻击者可以轻松地访问这些敏感文件,从而了解系统的配置细节、密码信息、数据库凭据等重要数据,扩大的攻击面。
这种泄漏敏感信息的情况就属于信息泄漏漏洞。
1.2. 漏洞发现
主要以目录扫描为主,可参考目录扫描,其次以观察或者正则表达式辅助为主。
1.3. 漏洞分类
1.3.1. 高风险
原创
2023-05-30 15:19:07
320阅读
挖掘,一些iot设备目标也是可以作为重点关注的存在。近期实战中遇到了几个cisco配置信息泄漏的案例,借此机会复习总结下cisco常见的漏洞。
原创
2023-07-04 22:32:53
0阅读
前言上一篇文章介绍了cisco路由器设备
原创
2023-07-27 21:32:54
0阅读
安全设备的漏洞案例。CISCO-UCM 全称Cisco Unified Communications Manager,是用于集成CISCO的语音视频通话、消息传递和移动协作的基础设施。
原创
2023-07-04 22:32:49
0阅读
名称 : Windows 内核信息泄漏组件名称 : Windows影响范围 :Windows 10 21h1/20h2/1809/1909/2004Windows Server 2016 20h2/2004Windows Server 2019类型 : 信息泄漏利用条件 :1、用户认证:不需要用户认证2、触发方式:远程综合评价 :1、用户认证:不需要用户认证2、触发方式:
转载
2022-01-25 11:48:54
347阅读
:1、用户认证:不需要用户认证2、触发方式:远程综合评价 :1、用户认证:不需要用户认证2、触发方式:本地漏洞分析1 组件****介绍Microsoft Windows操作系统是美国微软公司研发的一
转载
2021-07-07 10:21:44
259阅读
金融行业用户信息蛮值钱的,获取的方式有多种方式sql注入,xss跨站,命令执行,未授权接口查询等等,今天遇到一个未授权接口查询的漏洞,有验证码,是前端刷新的验证码,后端效验,这种把前端的请求给丢弃好了。是在注册页面上,当用户已经注册了会提示用户存在,用户不存在的时候会发验证码,验证手机号。绕过验证码后,就可以知道那些手机号注册了,那些手机号没有注册。虽然是一个简单的信息泄漏问题,都有那些危害,怎么
原创
2020-05-30 11:36:32
1939阅读
1,google hacksvn 搜索技巧 图1 git 搜索技巧 图22,svn信息利用原理2.1 svn<=1.6从svn的结构图可以看到一个目录text-base,这里有我们源文件的备份,比如要下载somedomain/phpinfo.php,直接访问目录somedomain/.svn/text-base/phpinfo.php.text-base,一般的
原创
2015-07-30 15:07:38
4963阅读
【漏洞通告】Linux Kernel 信息泄漏&权限提升漏洞(CVE-2020-8835)通告原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 今天通告编号:NS-2020-00212020-03-31TA****G:Linux Kernel、信息泄漏、权限提升、CVE-2020-8835漏洞危害:攻击者利用此漏洞**,可实现...
转载
2021-06-18 14:41:42
166阅读
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android中大量的app漏洞应如何去避免或者修改。一、基本应用信息通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。二、安全漏洞检测项加密算法和密码安全1
转载
2023-10-16 20:18:38
93阅读
lua内存泄漏查证 本文主要介绍某项目脚本(lua)部分内存泄漏的查证与处理过程,希望对大家有点
帮助。需要说明的是,lua本身并不存在真正的内存泄漏,只是因为使用上面的原
因导致无法gc,从而导致逻辑上的泄漏:)。
参考GCObject的声明可以发现,lua中的复杂数据类型变量的传递都是基
于引用的。当lua从根开始gc扫描的时候,只要还有一个地方有对此变量的引用,那
么
转载
2024-04-27 07:32:27
30阅读
【漏洞通告】Linux Kernel 信息泄漏&权限提升漏洞(CVE-2020-8835)通告原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 今天通告编号:NS-2020-00212020-03-31TA****G:Linux Kernel、信息泄漏、权限提升、CVE-2020-8835漏洞危害:攻击者利用此漏洞**,可实现...
转载
2022-03-16 17:07:50
44阅读
0x01漏洞简介: 3月31日, 选手Manfred Paul 在Pwn2Own比赛上用于演示Linux内核权限提升的漏洞被CVE收录,漏洞编号为CVE-2020-8835。此漏洞由于bpf验证系统在Linux内核中没有正确计算某些操作的寄存器限制,导致本地攻击者可以利用此缺陷越界读取机密信息(内核
原创
2022-01-11 16:45:43
51阅读
一、简介说明 据国家网络与信息安全信息通报中心监测发现,阿里巴巴公司开源Java开发组件fastjson存在反序列化漏洞。fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响f
转载
2023-08-19 10:53:01
119阅读
首先,题主询问“Android 应用”的安全漏洞,说到 Android 应用的安全漏洞,如果抛开系统设计问题,其主要原因是开发过程当中疏漏引起的。但其实也并不能把这些责任都怪在程序猿头上。所以本答案也将会对 Android 系统设计以及生态环境做一些阐述。(如果想了解 Android 恶意软件的情况,那就需要另开题目了。)
1. 应用反编译 漏洞:APK
转载
2023-08-23 21:55:47
15阅读
漏洞表现 直入主题,附件有一个名为PermissionLeakage的Demo, 在PC上安装前的界面如下:
从图可以看到,这个DEMO没有定义任何权限(实际也没有定义任何权限,大家可以尝试反编译看一下他的AndroidManifest.xml)。下面是DEMO的界面内容,如下:
“手机号码”等重要信息,甚至 可以监控来去电,大家可以安装DEMO测试一下。
EasyCVR视频融合云服务是我们支持协议最全面的视频平台,包括主流标准协议国标GB/T28181、RTSP/Onvif等,以及厂家的私有协议,如海康Ehome、海康SDK、大华SDK等,能兼容多类型的设备接入,在应用上,能为安防大数据智能平台提供极强的视频能力支持。 有用户在现场测试的过程中反馈EasyCVR在接入一路RTSP格式的视频流时,出现了不能播放的问题,经常自动离线,需要用户
转载
2024-05-07 15:46:27
94阅读
1. 内存泄漏的准备工具 jemalloc及valgrind来辅助定位问题
转载
2016-06-28 18:16:00
268阅读
2评论
