iOS 9.2/9.2.1修补的内核漏洞 - PanguTeam 经验
iOS 9.2.1 中陆续修补了大量漏洞,其中Google Project Zero团队的Ian Beer报告了多个内核漏洞,并且在苹果修补后给出了 漏洞细节 。 条件竞争漏洞 通过查看公告可以发现除了
375805303 Linux 2.6.39 到 3.2.0 爆提权漏洞 资讯
Linux 2.6.39 到 3.2.0 内核爆提权漏洞,普通用户可以通过运行特定代码获得 root 权限。 重现方法: wget http://git.zx2c4.com/CVE-201
fmms MicroSD卡曝漏洞:可执行任意代码 资讯
Huang)报告了 MicroSD 卡的安全隐患。他和同事发现部分 SD 卡包含了能允许在卡上执行任意代码的漏洞,而在记忆卡上执行代码的能力将可用于发动一种难以探测的中间人攻击。 不过从好的一面上说,由于 SD
jopen 
Adobe承认Flash存远程漏洞 资讯
Adobe周六发布了Flash播放器软件的更新版本,修补了未公开的漏洞,这个漏洞可能允许远程攻击者发动攻击获得Mac或PC的控制权,Adobe要求用户尽快进行更新,因为这个漏洞已经被黑客用来进行恶意行为。 OSX平台版本在16
Android漏洞检测套件 资讯
Test Suite(Android漏洞检测套件),鼓励开放收集的数据,帮助社区一起来维护Android安全。NowSecure带来了一款App来检查Android设备中存在的漏洞。 概述 这个工具是
P13 web应用漏洞学习利器 - WebGoat使用教程 文档
web应用漏洞学习利器-WebGoat使用教程 WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全
dunderhead
Android WebView 漏洞的利用、局限与终结 经验
法导致的远程代码执行漏洞由来已久,与其相关的CVE有三个( CVE-2012-6636 、 CVE-2013-4710 、 CVE-2014-1939 )。从乌云上暴露的相关漏洞来看,常见的利用方法就是通过反射获得java
PostgreSQL 累计漏洞修正版 资讯
统(比如 MySQL 和 Firebird),和对专有系统比如 Oracle、 Sybase 、IBM 的 DB2 和 Microsoft SQL Server的一种选择。 PostgreSQL
Apache Struts2 再现漏洞 资讯
Apache Struts 团队上周刚修复了 一个潜在的远程命令执行漏洞 ,今天再次发布新版本 2.3.14.3,修复了另一个重要的安全漏洞。 Struts 框架允许基于通配符的动作映射,且当一个请求
腾讯QQ再现重大漏洞! 资讯
今天上午,乌云漏洞平台发布一项腾讯 QQ 的新漏洞——QQ 群持久 XSS 攻击。据了解,攻击者只需向群内发送一个特定合法的 URL,即可在所有群用户查看群消息时触发恶意 Javascript 代码(可执行
IE是2014年漏洞最多的软件 资讯
蓝色为 2013 年漏洞数量,红色为 2014 年上半年漏洞数量 说到漏洞最多的软件,大家脑海中浮现的无非是 Flash、Java、IE、Chrome 这几款漏洞大户。根据 Bromium 公布的
Java曝远程代码执行漏洞 资讯
继本月初 Java官网曝本地文件包含(LFI)漏洞 ,可读取超过460位Oracle公司员工邮箱之后。今天Java又曝一系列安全漏洞,攻击者可在未授权的情况下在受害者的Java应用上远程执行命令,
Red Hat 修补“libuser”库中的漏洞 资讯
Red Hat 已经修补“libuser”库的两个漏洞,它们可以被一个本地攻击者利用来提升权限进行 root。 该 libuser 库提供了一个用于操作和管理用户和组账户的接口。该软件包是 Red
漏洞扫描系统:IronWASP 经验
IronWASP是一款开源的Web应用程序漏洞扫描系统,用户可以自定义安全扫描,并且可以自己用python/ruby来定义插件系统,来丰富漏洞测试项目,插件系统的语言版本是IronPython和Iro
Web漏洞扫描工具 Nikto 经验
2600多种有潜在危险的文件、CGI及其他问题,它可以扫描指定主机的WEB类型、主机名、特定目录、COOKIE、特定CGI漏洞、返回主机允许的 http模式等等。它也使用LibWhiske库,但通常比Whisker更新的更为
网站的SQLi漏洞挖掘工具 sqlifuzzer 经验
sqlifuzzer 是一个在命令行下用来挖掘Web网站的SQLi漏洞的工具。 ====================================================== 3:09:54
漏洞检测工具:Peach Fuzzer 经验
Peach是一种用Python编写的 Fuzzer。这种工具有助于发现并公开许多漏洞,并认为是黑客和安全团体中最流行的工具之一。为了利用Peach框架,必须创建Phthon脚本,脚本 中包含了在服务器
AngularJS – 如何处理 XSS 漏洞 经验
(直接从源代码中获得): 空元素 : area,br,col,hr,img,wbr. 详细信息请访问 http://dev.w3.org/html5/spec/Overview.html#void-elements
P11 Web应用常见安全漏洞 文档
命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句 例子 程序从Http 请求中读取一个sql
Java处理XSS漏洞的工具类代码 代码段
public class AntiXSS { /** * 滤除content中的危险 HTML 代码, 主要是脚本代码, 滚动字幕代码以及脚本事件处理代码 * * @param content * 需要滤除的字符串 * @return 过滤的结果 */ public static String replaceHtmlCode(String content) { if (null == conten