2022年04月08日
当你使用Smarter物联网咖啡机,所以,问题来了。2015年,Smarter该产品首次暴露了安全问题,研究人员发现它们可以恢复第一代Smarter iKettle用于咖啡机Wi-Fi加密密钥。后来又发现了第二代iKettle当时更智能的咖啡机版本还有其他问题,比如没有固件签名,ESP8266(构成设备大脑的芯片组)内部没有可靠的安全区域,导致黑客可能会用恶意软件更换工厂固件。此外,研究人员EvilSocket还尝试对设备协议进行了完整的逆向工程,从而可以远程控制设备。两年前,Smarter发布
2022年04月08日
0x01 环境配置所有测试应至少有一个处理器4GB RAM 的CentOS虚拟机可以重复。需要安装F-Secure Internet Gatekeeper,可以从https://www.f-secure.com/en/business/downloads/internet-gatekeeper下载。但据我们所知,供应商不再提供粗漏洞的版本。受影响的程序包具有以下功能SHA256哈希值:1582aa7782f78fcf01fccfe0b59f0a26b4a972020f9da860c19c1076
2022年04月08日
SQL(结构化查询语言)注入是众所周知的软件弱点和安全漏洞,如果没有,也是最著名的漏洞之一。虽然很有名,但如何防止?SQL注入仍然是主要漏洞之一,攻击继续增长。查找SQL注入根据OWASP Top 10注入漏洞(包括SQL注入是其中之一)Web应用程序安全的头号问题。SQL注入在CWE Top 25排名第六。其他类型的安全漏洞包括: 指令注入(CWE-77)
2022年04月08日
攻击种类计算机/设备账户本质上与用户账户相同,如果配置错误,可能同样危险。因此,可以使用计算机账户密码/哈希值进行其他攻击:1.银票攻击;2.金票攻击;3.过时的DNS条目;4.替代攻击。通过使用金票和银票进行攻击Kerberos票据授予服务(TGS)伪造票据。金票和银票攻击的主要区别在于,银票只允许攻击者伪造特定服务TGS票。这两者都可以被利用,因为Zerologon允许攻击者更改计算机帐户密码。一旦攻击者能够访问计算机账户密码哈希,该账户就可以用作“用户”帐户来查询A
2022年04月08日
什么是ZeroLogon?Netlogon远程协议(也称为MS-NRPC)是远程进程调用(RPC)接口仅用于连接到域的设备。MS-NRPC包括身份验证和建立Netlogon安全通道的方法。这些更新是强制指定的Netlogon客户端行为,以便在成员计算机和Active Directory (AD)域控制器(DC)之间使用带Netlo
2022年04月08日
最近,一些黑客宣布使用它checkm8漏洞利用和Blackbird两个漏洞越狱iPhone使用苹果最新的漏洞T2 安全芯片Mac电脑和MacBook 笔记本设备越狱。因为这两个漏洞利用都非常复杂,将两个漏洞利用结合起来的方法分别在推特和reddit公开后,一些苹果安全和越狱研究专家验证并确认了这种方法。用户或攻击者个漏洞并成功使用后,用户或攻击者可以完全控制用户设备的核心操作系统行为,或提取隐私或加密数据,甚至植入恶意软件。苹果T2 芯片苹果T2 芯片是苹果计算机和笔记本电脑的主流Intel
2022年04月08日
随着互联网技术的快速发展,业务模式更加灵活,应用系统更加复杂,因此面临着更多的安全挑战。安全测试是在应用系统投入生产和发布之前验证应用系统安全并识别潜在安全缺陷的过程,以防止安全风险,满足保密性、完整性和可用性的要求。在日常测试过程中,我们经常遇到开发同事,询问如何修复一些常见的配置漏洞。为了帮助开发同事快速识别和解决问题,笔者总结分析了应用系统中一些常见的配置漏洞,并通过总结项目安全测试工作经验给出相应的修复建议,在此简单分享。一、Cookie缺少HttpOnly属性漏洞描述Cookie中的H
2022年04月08日
一个由5名安全研究人员组成的团队在3个月内分析了多个苹果的在线服务,发现了55个安全漏洞,其中11个是严重的critical,29一个是高风险,13个中低安全等级漏洞2个。利用这些漏洞,攻击者可以完全控制受害者的应用,并自动接管受害者iCloud 账户蠕虫,从内部苹果项目中提取源代码,完全入侵苹果使用的工业控制仓库软件,接管苹果员工的会话,可以访问管理工具和敏感资源。攻击者可以利用这些漏洞劫持用户iCloud 账户并窃取照片、日历信息、视频、文档等。安全等级为critical 的漏洞有: &
2022年04月08日
0x01 背景介绍如果攻击者有任何阅读/写原语,防御者基本上无能为力。因为内存损伤漏洞总是可以构建这些原语,我可以以最可靠的方式使用漏洞。在本文中,我将分析和使用它CVE-2018-1000810,这是Scott McMurray在Rust标准数据库中发现的漏洞。我将分析漏洞的根本原因,如何触发漏洞,并使用漏洞构建一组强大的原语。https://github.com/rust-lang/rust/pull/54397Rust这种语言非常适合开发需要高安全性的应用程序。这个漏洞已经在最新版本中修复