测试方法:提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!Discuz 7.2 /faq.php SQL注入漏洞http://www.xxx.com/faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (sele...
分类:
数据库 时间:
2014-07-07 11:53:26
阅读次数:
232
上次是UI界面设计的Bug,这次是业务流程设计的Bug: 先注冊支付宝,再注冊淘宝,淘宝注冊的第二步强制用邮箱或者手机号码开通新的支付宝服务,这个开通选项前面有个复选框,但是复选框却是灰着:点半天没反应,既然选项锁死何必放出个checkbox忽悠人。 于是乎有了两个支付宝帐号。...
分类:
其他好文 时间:
2014-07-06 13:35:43
阅读次数:
205
0x0 引言
我们知道,在Android上的Intent-based攻击很普遍,这种攻击轻则导致应用程序崩溃,重则可能演变提权漏洞。当然,通过静态特征匹配,Intent-based的恶意样本还是很容易被识别出来的。
然后,最近出现了一种基于Android Browser的攻击手段——Intent scheme URLs攻击。这种攻击方式利用了浏览器保护措施的不足,通过浏览器作为桥梁间接实...
分类:
移动开发 时间:
2014-07-06 09:05:56
阅读次数:
219
大家好,我们是微软大中华区安全支持团队。微软于北京时间2014年5月14日公布了8个新的安全公告,当中 2个为严重等级,其余6个为重要等级,共修复.NET Framework,Office, SharePoint, Internet Explorer, 和 Windows中的13个漏洞。请优先部署公...
分类:
其他好文 时间:
2014-07-05 18:58:25
阅读次数:
196
1.一般来说依赖关系可以使得软件较小并且某个lib修复bug以后所有被依赖的软件都能得到好处。 依赖关系下,对于维护也有利有弊,第一,若某个被依赖的软件出现bug或者漏洞,这时候就只需要维护一个软件,可以不动依赖它的上层软件,而win下面,(除了系统的api),安装包都被打成静态包了,这时候如果有个...
分类:
系统相关 时间:
2014-07-03 19:08:09
阅读次数:
237
2013年手游行业的规模与收入均实现了大幅增长,发展势头强劲。然而,在手游高速发展的同时,由于监管、审核等方面存在着漏洞,手机游戏软件被破解后注入恶意代码、盗取用户财产、窃取用户设备信息的现象屡见不鲜。手游被破解后黑客的种种恶意行为不光给手游运营商带来财产方面的严重损失,一经媒体曝光“安全问题”后,更会给产品的声誉,严重损害产品的品牌形象。这不管是对手游运营商还是个人开发者来说,都是不可承受的打击...
分类:
移动开发 时间:
2014-07-03 16:21:43
阅读次数:
249
/*
本文章由 莫灰灰 编写,转载请注明出处。
作者:莫灰灰 邮箱: minzhenfei@163.com
*/
1. 漏洞分析
这是个很老的漏洞了,主要利用adb启动的时候调用setuid函数降到shell权限,却没有判断setuid返回失败的情况,因此造成了root的可能
如下是已经修复漏洞后的代码:
原本的代码大致如下:
setgid(A...
分类:
移动开发 时间:
2014-07-03 15:36:28
阅读次数:
279
/*本文章由 莫灰灰 编写,转载请注明出处。 作者:莫灰灰 邮箱:minzhenfei@163.com*/1.漏洞成因Linux kernel对ARM上的get_user/put_user缺少訪问权限检查,本地攻击者可利用此漏洞读写内核内存,获取权限提升。2.受影响的系统Linux kernel ....
分类:
数据库 时间:
2014-07-02 17:43:24
阅读次数:
366
昨天公司一台服务器突然之间不能ping,ssh无法登陆,从IDC反馈说服务器往外发包,数量巨大,CPU状态显示200%。通过psaux查看以下进程文件是异常文件:./liun2.3
/tmp/liun2.3
/tmp/liun2.3h
zzta.pl刚开始以为kill掉这些进程和删掉执行文件就可以了,可是过了几分钟,这个程序..
分类:
系统相关 时间:
2014-07-02 16:00:34
阅读次数:
393
1、Nessus的概述Nessus被认为是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus作为扫描该机构电脑系统的软件。*提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。*不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上摇控,进行系统的..
分类:
其他好文 时间:
2014-07-02 15:41:37
阅读次数:
220
