如今,许多攻击技术都在使用Microsoft Office文档来分发恶意软件。近年来,文档漏洞利用工具包构建器已经有了很多发展,更不用说红色绕过安全解决方案的技巧。 与不需要用户交互的下载相比,基于文…
前言: Ecshop是国内的一款开源的电商框架,在国内应用较为广泛,当前最新版本为4.0.0,最近对其代码进行了简单的分析,发现可以绕过其filter触发XSS。 一、漏洞利用方式 发送GET请求包如…
0×00 XXE漏洞 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意…
0×00 TLDR JRE8u20这个漏洞是其他人在之前JDK7u21的基础上进行改进得到了,他绕过了JavaSE后续对AnnotationInvocationHandler类的修复,阻止了这个类反序…
一、漏洞概述 以太坊智能合约的含义就是一组代码(函数)和数据(合约的状态),它们位于以太坊区块链的一个特定地址上。智能合约一般使用solidity语言编写。 Morpheus Network与世界上一…
Cortana是微软在Windows 10中内置的人工智能助手,但最近其被发现可以帮助攻击者解锁你的电脑。 在周二发布的最新补丁中,微软发布了一项重要更新,以解决Cortana中容易被利用的漏洞,该漏…
最近360核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击,捕获到了全球首例利用浏览器0day漏洞的新型Office文档攻击,我们将该漏洞命名为“双杀”漏洞。该漏…
背景 2018年1月31日,韩国CERT发布公告称发现Flash 0day漏洞的野外利用,攻击者执行针对性的攻击;2月1日Adobe发布安全公告,确认Adobe Flash Player 28.0.0…
0×01: 简介 JapsPer项目是一个开源项目,它提供了一种基于jpeg-2000部分标准。这个项目最初是由Image Power和英属哥伦比亚大学合作完成的。目前,正在进行的JapsPer软件的…
影子经纪人(Shadow Brokers)最近曝光的NSA方程式Windows攻击程序中有一个针对Mdaemon邮件服务器漏洞的远程攻击程序——Easybee,本文将对Easybee漏洞攻击进行复现,…

RadeBit瑞安全

RadeBit瑞安全