看个视频也被黑?加载字幕文件触发播放器漏洞实现系统入侵

检查点研究人员最近发现了一种新型攻击 - 字幕攻击,当受害者加载攻击者制造的恶意字幕文件时会触发玩家漏洞,从而使受害者系统完全控制“无声”系统。根据测试,攻击方法可以成功实现许多知名视...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 801 )

【国际资讯】Chrome缺陷导致网站秘密记录音频和视频

谷歌浏览器存在用户体验设计缺陷,允许恶意网站在用户不知情的情况下录制音频或视频。 2017年4月10日,AOL的开发者Ran Bar-Zik告诉谷歌这个漏洞,但谷歌否认它是一个有效的安全漏洞,并没有...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 921 )

如何保护网页按钮不被XSS自动点击

前言 XSS自动点按钮有什么危险? 在社交网络中,通过单击按钮(例如发布消息)启动许多操作。如果消息系统具有XSS漏洞,则除了攻击之外,用户还可以发布XSS。——它可以自动填写邮件内容,然后单...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 989 )

SecPulse“脉搏涌动”第二届安全技术交流沙龙

召集令 近年来,遭遇僵尸网络、木马、蠕虫病毒入侵的终端机数量激增,而僵尸网络和木马是造成隐私泄露、垃圾邮件和大规模拒绝服务攻击的重要原因,为了个人和企业的安全,安全脉搏携手各大SRC等互联网企业共同举…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 827 )

挖洞经验 | 看我如何找到雅虎的远程代码执行漏洞并获得5500刀奖金

我一直认为与人分享是一个非常好的特质,我从脆弱性奖励领域的许多安全研究专家那里学到了很多东西,我终生可以使用,所以我决定关注这篇文章。我分享了我最近的一些小发现,并希望这些东西能帮...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 804 )

【技术分享】从JS文件中发现『认证绕过』漏洞

前言 本文重点介绍如何利用配置错误深入了解漏洞奖励项目中的身份验证绕过漏洞。 从JS文件中发现认证绕过漏洞 本文的内容源自私人漏洞赏金计划。在此漏洞计划中,接受的漏洞范围仅限于目标站...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 878 )

2016 Vam手机渗透系列视频教程

渗透系列视频教程'href='https://pan.baidu.com/s/1nuNaUNZ'rel='外部nofollow'target='_ blank'rel='nofollow'>

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 838 )

渗透测试神器Burp Suite v1.7.13

Burp Suite是一款信息安全从业人员必备的集 成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequ…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 900 )

【社工】财付通BUG查任何实名

1.首先进入TenPay主页,将RUL的V3更改为V2,然后按Enter键。   2.这是一个BUG,因此您可以输入旧版TenPay,将鼠标悬停在转移支付上,然后支付给多个人。   我在这里把一美元转给了一...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 1028 )

路由器的LED灯将允许攻击者从物理隔离计算机中窃取数据

LED灯配置在路由器和交换机等网络设备上。这些LED的闪烁使我们能够了解设备的运行状态。但最近的研究表明,LED灯在这种网络设备中的闪烁行为不仅会泄漏数据,甚至还会让攻击者以更高的数据传输...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 958 )

SambaCry 野外利用分析

Author: redrain & houjingyi159 @360网络安全响应中心 2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 921 )

凡普金科招聘——安全管理经理、安全技术经理(坐标BJ银河SOHO)

凡普互金有限公司(其品牌名为“凡普金科”)是一家金融科技公司,专注于大数据处理和金融科技研发,为普通人提供更高效的智能金融服务和解决方案,用科技缩短人和金融服务的距离,促进金融服务平等化,努力践行普惠…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 825 )

如何通过Windows 10中的Guest帐户获取Admin权限(含视频)

本文中描述的渗透方法使用Windows 10提升努力(CVE-2017-0213)。我们的漏洞利用代码可以帮助渗透测试人员使用Windows 10 Guest帐户获取目标设备的管理员权限。 不用多说了,请看下面这个简短的...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 998 )

透过F5获取服务器真实内网IP技巧

从对等方接收数据时失败 严格地说,只有内联网的私有IP对于目标防御的正面突破并不明显。但是,当需要进行内部网渗透和漫游时,此信息很有用。如果你不擅长写作,如果你真的不能写,你可以将此...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 1037 )

sa权限获取webshell思路

  1.首先通过SQL查询分析器通过sa权限恢复xp_cmdshell存储过程。    2.通过SQL Tools2.0连接数据库,执行命令,查看网站路径和磁盘文件,获取网站的真实路径。    3.e...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 873 )

XPwn 2017 | 开创一个安全极智的未来

XCon和XPwn创始人王英键在首届XPwn会议中说过:“做安全就是做未来,我们要重视安全,关注安全和了解安全。未来的安全是什么?它是以什么形态存在?它所具备的威胁是什么?发现问题和解决问题,这个是我…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 915 )

【技术分享】NSA武器库之Eclipsedwing复现

导语 自Shadow Brokers发布NSA泄漏工具以来,各个专业已经相继发布了各种泄漏工具的exp恢复工具,以及WannaCry和EternalRocks洗劫病毒,所有这些都显示了泄漏工具的力量,但是在漏光工具中泄漏...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 929 )

至安全|web安全工程师培训招生开始!

至安全 至安全(www.zhiaq.com)是上海来晨网络科技有限公司推出的web安全工程师线下培训课程(简称至安全),与安全盒子、网络尖刀以及安全脉搏等众多知名安全团队达成长期合作。 来晨科技希望通…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 884 )

【技术分享】基于误植域名的水坑攻击实践

  因为不是每个人都具有与NSA Quantum系统相同的功能,所以穷人必须考虑如何以较低的成本消灭目标网络,对吧? 自20世纪90年代以来,错误种植已经被认可甚至被滥用,主要用于网络钓鱼,但...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:29
  • 阅读 ( 909 )

利用Wireshark任意获取QQ好友IP实施精准定位

虽然有很多用于在Internet上获取IP的qq插件,但原理基本相同,但插件的安全性并不讨人喜欢。以下是如何使用wireshark获取朋友的IP。 首先,打开wireshark选择本地网卡,因为我使用的是无线网卡...

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:28
  • 阅读 ( 1017 )