影响范围 Linux Kernel 4.10.6 漏洞类型 容器内核逃逸 利用条件 影响范围应用 漏洞概述 Linux kernel < 4.10.6版本中，net/packet/af_packet.c/packet_set_ring函数未正确验证某些块大小数据...

文章前言 低代码/无代码开发平台提供了一个通过图形用户界面创建应用软件而不是传统的手工编码计算机程序的开发环境，这种平台减少了传统手工编码的规模，从而加快了商业应用程序的交付，而随着...

文章前言 勒索病毒是一种极具破坏性、传播性的恶意软件，主要利用多种加密算法加密用户数据，之后勒索用户高额赎金，故而勒索病毒也被称为是当前黑客最有效的'变现'方式勒索病毒文件在本地运行...

发展历程 1989年：第一个已知的勒索软件名AIDS(PC Cyborg)由哈佛大学毕业的Joseph Popp创建，这是一种替换AUTOEXEC.BAT文件的特洛伊木马程序，当潜伏AIDS的计算机启动次数到达第90次时就会隐藏...

文章前言 威胁建模(Threat Modeling)是一个不断循环的动态模型，它可以帮助企业确定对应用程序造成影响的威胁、攻击、漏洞和对策，企业可以使用威胁建模来形成应用程序的设计、实现企业的安全目...

基本介绍 STRIDE威胁建模是由微软提出的一种威胁建模方法，将威胁类型分为Spoofing(仿冒)、Tampering(篡改)、Repudiation(抵赖)、Information Disclosure(信息泄漏)、Denial of Service(拒绝服...

项目介绍 反序列化问题是信息安全的最新趋势，它们因臭名昭著的Java反序列化错误而声名鹊起，然而这些问题不仅仅局限于一种语言，序列化和反序列化是几乎所有现代编程语言中执行的常见操作，尽...

文章前言 情报本质上是高纬度的信息，对于信息/数据的评价一般可以分为：完整性、一致性、准确性和及时性，本篇不从高屋建瓴的方法论入手，而是直接关注于实际的威胁情报使用场景，具体来说是威...

基本介绍 从Windows 7到Windows 10 / Server 2019的本地服务到系统权限提升漏洞，也是土豆家族的有一个提权漏洞 项目地址 https://github.com/CCob/SweetPotato SweetPotato by @_EthicalChaos_...

文章前言 本篇文章主要介绍如何通过利用Adobe Flash Player的漏洞进行社工钓鱼，该漏洞目前已被修复，在实战中利用已不太奏效，仅作为学习 钓鱼实践 影响范围 Adobe Flash Player<=28.0.0.13...

CDN简介 CDN的全称是Content Delivery Network，即“内容分发网络”，它是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能...

影响范围 用友U8 OA 漏洞类型 SQL注入 利用条件 影响范围 漏洞概述 用友U8 OA test.jsp文件存在SQL注入漏洞，由于与致远OA使用相同的文件，于是存在了同样的漏洞 漏洞复现 登录页面如下 http://...

影响范围 DedeCMS v5.7 SP2 漏洞危害 任意修改前台用户密码 攻击类型 任意修改前台用户密码 利用条件 1、开启会员模块 2、攻击者拥有一个正常的会员账号 3、目标没有设置安全问题 漏...

WPAD简介 WPAD全称是网络代理自动发现协议(Web Proxy Autodiscovery Protocol)，通过让浏览器自动发现代理服务器，定位代理配置文件，下载编译并运行，最终自动使用代理访问网络 WPAD原理 用户...