安全资讯_电脑技术_技术知识_知识大全-知识屋www.zhishiwu.com

5月微软补丁KB2871997和KB2928120漏洞利用分析 2014-07-15 11:50:28
5月，微软在13日发布月度安全更新，其中有KB2871997和KB2928120两个知识库文章Knowledgeased（而KB2871997甚至不是Security Bulletin）。对于无论是作为攻击的渗透测试人员还是作为防守的管理员都不容忽视这两
手机App安全性测试初探 2014-07-15 11:50:28
目前手机App测试还是以发现bug为主，主要测试流程就是服务器接口测试，客户端功能性覆盖，以及自动化配合的性能，适配，压测等，对于App安全性测试貌似没有系统全面统一的标准和流程，其实安全性bug也可以是bug的
Oracle数据库安全策略 2014-07-15 11:50:28
随着计算机网络应用的普及和提高，Oracle数据库应用在各个领域日新月异，它性能优异，操作灵活方便，是目前数据库系统中受到广泛青睐的几家之一。然而，随着应用的深入，数据信息的不断增加，数据库的安全性问题
堆溢出学习笔记 2014-07-15 11:50:28
0x00 概述本文从程序实例出发，展示了XP SP1下的堆溢出+代码执行，XP SP3下的堆溢出+内存任意写，主要面向{已经掌握缓冲区溢出原理，希望进一步了解堆溢出原理的初学者}、{就是想找个堆溢出例子跑一遍的安全爱...
深澜软件鸡肋漏洞可被getshell 2014-07-15 11:50:28
有好几个鸡肋漏洞，就造成了getshell。本例以中枪的xx科技大学为例。1.爆路径问题http://xxxx.xx:8080/global.php，所有均存在路径泄露不过实际路径是/srun3/srun/services/（1）80端口路径/srun3/web/（2）8800...
职业黑客插U盘种木马,U盘防范常识 2014-07-15 11:50:28
好莱坞一部《黑客帝国》，一度将新新人类黑客粉饰成了无所不能的救世主，不过在现实社会中也如此么?近日，《南方都市报》披露了一个国际职业黑客：亚历山大琼斯(Alexander Jones)的工作详情，他最擅长的就是插
weblogic81解密 2014-07-15 11:50:28
0x01 目标环境和已获得的权限环境:目标操作系统：linux目标web容器:weblogic8 1目标数据库：oracle已获得的权限:目标系统webshell,root权限要获取的：目标oracle数据库的连接密码0x02 解密weblogic8 1采用3DES
Defcon Shitsco程序分析–信息泄露 2014-07-15 11:50:28
这是今年defcon上的一道200分的pwn题目，是一个linux 32位的elf程序，程序见附件 shitsco。一、静态分析首先运行程序，看大致程序的功能。如下图所示，这个程序提供了一个internet操作系统，支持一定的命令（e
Linux：权限、用户、用户组、root、安全审核、安全配置备忘录 2014-07-15 11:50:28
文件(包括目录)权限：权限类型
关于数据库安全及其防范方案的分析 2014-07-15 11:50:28
1 数据库安全环境的分析随着时代的发展，我国的计算机信息安全标准也在不断提升。在当下的数据库系统安全控制模块中，我国数据库安全分为不同的等级。但是总体来说，我国的数据库安全性是比较低的，这归结于我国
Android应用渗透测试：设置启动，证书安装和goatdroid安装 2014-07-15 11:50:28
首先，在Android平台上的移动应用程序渗透测试，我们有多个可用的工具，可以轻松地下载和安装环境准备测试.这些工具将帮助我们建立一个虚拟环境安装使用Android的移动应用，安装一个智能手机进行安全测试。在这篇...
How could I exploit on Tomcat with AJP protocol 2014-07-15 11:50:28
Author:MickeyBasically when we installed Tomcat that we saw installation wizard below screenshot, We usually deployed a WAR to tomcat almost used default port 8080, even t
ASLR/DEP绕过技术概览 2014-07-15 11:50:28
by WinsOn@Cybersword 在经典的栈溢出模型中，通过覆盖函数的返回地址来达到控制程序执行流程（EIP寄存器），通常将返回地址覆盖为0x7FFA4512，这个地址是一条JMP ESP指令，在函数返回时就会跳转到这个地址...
Adobe沙箱简介与漏洞挖掘 2014-07-15 11:50:28
by ashimida@Cybersword一、Adobe X沙箱简介Adobe Reader X自从引入沙箱以来，对其攻击的难度就提高了很多。Reader X的沙箱是基于Google的Chrome沙箱，Chrome是开源的，Reader X和Chrome的代码有很大程度上...
CVE-2013-3897 POC 2014-07-15 11:50:28
!-- CVE-2013-3897 exploit sample. decs: http://blog.spiderlabs.com/2013/10/another-day-another-ie-zero-day.htmlsource: http://1.234.31.154/mii/guy2.html?--!doctype htmlhtmlheadtitl...
CVE-2013-3897样本分析学习笔记 2014-07-15 11:50:28
之前，看到FireEye上的CVE-2013-3893分析，看利用方式比较类似，以为是同一个，分析学习下，发现导致问题的对象不一致，也没有利用ms-help加载office的hxdl构造ROP，后来在BinVul论坛上看到有人发了该样本，才知...
Apache 、服务器敏感全路径收集 2014-07-15 11:50:28
最常用的Apache路径有：/etc/httpd/conf/httpd.conf/usr/local/apache/conf/httpd.conf/usr/local/apache2/conf/httpd.confApache 2.2 default layout (apache.org source package):ServerRoot :: /usr/...
浅析Windows平台下Android应用抓包挖掘漏洞方法 2014-07-15 11:50:28
0x01 大体思路在安卓75%的市场占有率下，形形色色的安卓应用层出不穷，随之而来的便是大波的漏洞。在各类市场中随意翻一下，几乎都是连接网络的应用，这在给用户惬意体验的同时也给我们漏洞挖掘带来了机会。当前...
由LFI引起的Zimbra邮件管理系统0day 2014-07-15 11:50:28
Zimbra是一个公司用的很多的邮件系统，可能涉及到很多公司内部的机密，所以极为重要。这是前几天在exploit-db.com上发出来的0day：http://www.exploit-db.com/exploits/30085/。由本地文件包含漏洞可以看到l...
再次绕过安全狗实现突破提权 2014-07-15 11:50:28
利用提权exp提升权限至system执行reg文件实现shift提权本来跟安全狗也没多大关系可是安全狗既然拦截了五下shift弹出粘贴键那为什么注册表劫持过以后又可以顺利弹出呢？拦截了shift弹出3389连接五下shift也不能弹
10 个 Nginx 的安全提示 2014-07-15 11:50:28
Nginx是当今最流行的Web服务器之一。它为世界上7%的web流量提供服务而且正在以惊人的速度增长。它是个让人惊奇的服务器，我愿意部署它。下面是一个常见安全陷阱和解决方案的列表，它可以辅助来确保你的Nginx部署
驱动漏洞提权执行内核代码样本分析学习 2014-07-15 11:50:28
上篇讲到恶意样本绕过驱动防火墙机制，接下来讲下样本是如何利用该驱动漏洞进行内核提权的，错误的地方还请斧正。目前网吧为了防止木马病毒，绝大部分安装了系统还原软件，通过首先获取的R0权限，拦截未知的
妙用.htaccess隐藏网页文件扩展名 2014-07-15 11:50:28
我总固执地认为网页链接后拖着一个 php让人看着心烦，一心想要找到办法把它给去掉。虽然网上有对WordPress、Discuz等系统关于这方面的介绍，但是对于自己设计的网站就不太好使了。在我经过无数次HTTP 500后，磕
文件上传组件导致 Tomcat 7&8 DoS 安全漏洞 2014-07-15 11:50:27
由于 Apache Commons Fileupload 文件上传组件的问题，导致全系的 Tomcat 版本存在 DoS 安全漏洞。所影响的版本包括：--CommonsFileUpload1 0to1 3 --ApacheTomcat8 0 0-RC1to8 0 1 --ApacheTomcat7 0
SUSE安全大揭秘之“十诫” 2014-07-15 11:11:14
SUSE由于其出色的性能和对安全较好的控制，吸引了很多企业级用户，目前在国内开始有大量的关键应用。但这并不代表SUSE在使用中就是安全的，SUSE里还有很多安全细节要注意。本文就SUSE中的这些安全细节进行逐一介绍，为大家揭开每一个需要注意的地方。一、补