越来越多的黑客利用defi漏洞窃取加密货币
越来越多的黑客利用defi漏洞窃取加密货币 ang010ela 嘶吼专业版 2022-08-31 12:05 根据Chainalysis数据,2022年第1季度,DeFi加密货币平台频繁成为黑客攻击的目标。2021年,约有25%从DeFi平台窃取的加密货币之后返回给了受害者,而今年没有一起从DeFi窃取的资金返回的案例。 图 加密货币窃取总体情况 根据CertiK的数据,从今年以来,5大跨链平台受
继续阅读月度归档: 2022 年 8 月
关于畅捷通T+软件存在任意文件上传漏洞的安全公告
关于畅捷通T+软件存在任意文件上传漏洞的安全公告 原创 CNVD CNVD漏洞平台 2022-08-30 22:30 2022年8月30日,国家信息安全漏洞共享平台(CNVD)收录了畅捷通T+软件任意文件上传漏洞(CNVD-2022-60632)。未经身份认证的攻击者可利用漏洞远程上传任意文件,获取服务器控制权限。目前,已出现用户被不法分子利用该漏洞进行勒索病毒攻击的情况,厂商已发布安全更新完成修
继续阅读漏洞风险提示 | 畅捷通T+远程代码执行漏洞
漏洞风险提示 | 畅捷通T+远程代码执行漏洞 长亭安全应急响应中心 2022-08-30 13:44 长亭漏洞风险提示 畅捷通T+远程代码执行漏洞 畅捷通T+是一款互联网管理软件,主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。适用于异地多组织、多机构对企业财务汇总的管理需求;全面支持企业对远程仓库、异地办事处的管理需求
继续阅读【技术干货】VMware 系列产品之身份验证绕过和JDBC注入漏洞分析
【技术干货】VMware 系列产品之身份验证绕过和JDBC注入漏洞分析 星阑科技 2022-08-29 16:09 xxhzz @PortalLab实验室 前言 在此前分析了CVE-2022-22972 VMware Workspace ONE Access和CVE-2022-22954 VMware Workspace ONE Access SSTI RCE之后,发现当时的安全公告中同时披露了
继续阅读DirtyCred:存在8年的Linux kernel漏洞
DirtyCred:存在8年的Linux kernel漏洞 关键基础设施安全应急响应中心 2022-08-29 14:59 研究人员发现存在8年的Linux kernel漏洞——DirtyCred。 美国西北大学研究人员在Linux kernel中发现了一个存在长达8年之久的安全漏洞——DirtyCred,CVE编号为CVE-2022-2588,攻击者利用该漏洞可以将权限提升到最高级别。 Dirt
继续阅读安全头条 |2022年中国网络文明大会主论坛在天津举行;CNNVD通报关于苹果的多个安全漏洞情况
安全头条 |2022年中国网络文明大会主论坛在天津举行;CNNVD通报关于苹果的多个安全漏洞情况 安全牛 2022-08-29 12:13 点击蓝字·关注我们 AQNIU 上周安全热点回顾 • 2022年中国网络文明大会主论坛在天津举行 • 工信部等七部门印发《信息通信行业绿色低碳发展行动计划(2022-2025年)》 • 《公路水路关键信息基础设施安全保护管理办法》公开征求意见 • 广东省邮政管
继续阅读原创Paper | Cisco RV340 wfapp 命令注入漏洞(CVE-2022-20827)分析
原创Paper | Cisco RV340 wfapp 命令注入漏洞(CVE-2022-20827)分析 原创 404实验室 知道创宇404实验室 2022-08-29 09:50 作者:Rivaille@知道创宇404实验室日期:2022年8月29日 漏洞原理 这个漏洞是cisco RV340 和cisco RV160 系列中存在的一个命令注入漏洞,命令注入发生在wfapp 中,漏洞原理如下。
继续阅读Java安全学习04-反序列化漏洞-动态代理-CC1链-入门
Java安全学习04-反序列化漏洞-动态代理-CC1链-入门 原创 五流应用安全技师 NOVASEC 2022-08-27 16:32 真的 单单你的名字就够我爱一生了 –王小波 △△△点击上方“蓝字”关注我们了解更多精彩 0x00 免责声明 在学习本文技术或工具使用前,请您务必审慎阅读、充分理解各条款内容。 1、本团队分享的任何类型技术、工具文章等文章仅面向合法授权的企业安全建设行为
继续阅读以太坊基金会设立最高100万美元的短期漏洞奖励计划
以太坊基金会设立最高100万美元的短期漏洞奖励计划 Adam Bannister 代码卫士 2022-08-26 18:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 以太坊基金会宣布称,因以太坊网络的共识机制将从 “工作量证明 (proof-of-work)” 转向 ”权益证明 (proof-of-stake)”,从即日(当地时间8月24日)起至9月8日期间,如研究员能找到严重漏洞,
继续阅读GitLab修复了CE、EE版本中一个远程代码执行漏洞
GitLab修复了CE、EE版本中一个远程代码执行漏洞 网络安全应急技术国家工程中心 2022-08-26 15:01 近期,Security Affairs 网站披露,DevOps 平台 GitLab 修复了其社区版(CE)和企业版(EE)中出现的一个关键远程代码执行漏洞,该漏洞被追踪为 CVE-2022-2884(CVSS 评分 9.9)。 据悉,攻击者经过“身份验证”后,可以通过 GitHu
继续阅读GitLab存在严重漏洞,允许通过Github导入实现远程命令执行
GitLab存在严重漏洞,允许通过Github导入实现远程命令执行 看雪学苑 看雪学苑 2022-08-25 18:02 本周一,GitLab发布了其社区版(CE)和企业版(EE)的15.3.1、15.2.3、15.1.5版本,其中包含重要的安全修复程序。 在公告中,GitLab强烈建议用户立即将其GitLab升级到这些版本之一,因GitLab CE/EE中存在一个高危漏洞。 GitLab是一个使
继续阅读超过8万台海康威视摄像头受漏洞影响
超过8万台海康威视摄像头受漏洞影响 网络安全应急技术国家工程中心 2022-08-25 15:43 概述 安全研究人员发现有超过8万台海康威视摄像头受到CVE-2021-36260漏洞的影响。CVE-2021-36260漏洞是一个命令注入漏洞,攻击者利用该漏洞可以发送伪造的消息给有漏洞的web服务器以实现命令注入。海康威视已于2021年9月通过固件更新修复了该漏洞。 但CYFIRMA研究人员发现分
继续阅读推特前安全主管控诉存在“令人震惊”的安全漏洞
推特前安全主管控诉存在“令人震惊”的安全漏洞 关键基础设施安全应急响应中心 2022-08-25 15:43 据《华盛顿邮报》 8月23日报道,推特前安全主管Peiter Zatko向美国证券交易委员会(SEC)、联邦贸易委员会(FTC)和司法部提交了一封举报文件。在文件中,Zatko控诉推特在安全实践中存在“令人震惊的”漏洞,在安全、隐私和内容审核方面存在“严重缺陷”。他还认为,推特高管在联邦监
继续阅读微软公开披露关键 ChromeOS 漏洞的细节
微软公开披露关键 ChromeOS 漏洞的细节 网络安全应急技术国家工程中心 2022-08-25 15:43 微软分享了一个关键的 ChromeOS 漏洞的技术细节,该漏洞可被利用来触发 DoS 条件或远程代码执行。被跟踪为 CVE-2022-2587(CVSS 得分为 9.8)的关键 ChromeOS 漏洞的详细信息。该漏洞是 OS Audio Server 中的一个越界写入问题,可被利用来触
继续阅读2022上半年XIoT安全态势-XIoT环境下信息物理系统的漏洞披露和补救措施
2022上半年XIoT安全态势-XIoT环境下信息物理系统的漏洞披露和补救措施 关键基础设施安全应急响应中心 2022-08-25 15:43 工业网络安全公司Claroty当地时间24日透露,物联网漏洞、供应商自我披露以及完全或部分修复的固件漏洞有所增加。该公司分析了今年前六个月影响扩展物联网(XIoT)环境的漏洞披露和补救措施。它指出,要评估这些关键部门的风险,决策者必须对脆弱性环境有一个完整
继续阅读【技术干货】CVE-2022-0540 Jira身份验证绕过漏洞分析
【技术干货】CVE-2022-0540 Jira身份验证绕过漏洞分析 星阑科技 2022-08-25 11:07 xxhzz @PortalLab实验室 前言 在上篇分析CVE-2022-26135Atlassian Jira Mobile Plugin SSRF漏洞 之后,发现在此之前,jira也曾爆出过身份验证绕过漏洞,CVE编号为cve-2022-0540。趁着环境还热乎,对其产生的原理和代
继续阅读GitLab远程代码执行漏洞 (CVE-2022-2884) 安全风险通告
GitLab远程代码执行漏洞 (CVE-2022-2884) 安全风险通告 安全内参 2022-08-24 19:07 近日,奇安信CERT监测到GitLab官方发布GitLab远程代码执行漏洞(CVE-2022-2884)通告,经过身份认证的远程攻击者可通过GitHub导入功能实现远程代码执行。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。 漏洞名称 GitLab 远程代码执行漏洞 公开时
继续阅读黑客利用零日漏洞窃取General Bytes ATM 机上的加密货币
黑客利用零日漏洞窃取General Bytes ATM 机上的加密货币 关键基础设施安全应急响应中心 2022-08-24 14:56 The Hacker News 网站披露,比特币 ATM 机制造商 General Bytes 证实其遭到了网络攻击。攻击者利用服务器中的零日漏洞,从用户处掠夺加密货币。 攻击事件发生不久后,General Bytes 在一份公告中表示,自 2020-12-08
继续阅读2022最危险的五个API安全漏洞
2022最危险的五个API安全漏洞 关键基础设施安全应急响应中心 2022-08-24 14:56 API安全漏洞仍然是企业的眼中钉,访问控制漏洞几乎成了高危漏洞的代名词。 API作为系统功能之间的关键通信方法,在网络服务中扮演着关键作用,已经成为网络攻击的热门目标。 根据API安全公司Wallarm最新发布的“2022年一季度API漏洞”报告,第一季度共发现并报告了48个与API相关的漏洞(下图
继续阅读SourceGuardian代码混淆的还原分析
SourceGuardian代码混淆的还原分析 原创 数据安全实验室 山石网科安全技术研究院 2022-08-24 10:09 1. 前 言 最近无意中拿了两套源码,刚想审计时发现控制器等主逻辑文件做了混淆,内容如: 图 1 混淆代码 简单尝试后发现我解混淆的能力不足以解开这串东西,于是简单搜索了一些关键字,如sg_load 这个函数,会发现这种混淆是一个名为 SourceGuardian 的
继续阅读CNNVD | 关于苹果多个安全漏洞情况的通报
CNNVD | 关于苹果多个安全漏洞情况的通报 中国信息安全 2022-08-23 19:48 扫码订阅《中国信息安全》杂志 邮发代号 2-786 征订热线:010-82341063 近日,国家信息安全漏洞库(CNNVD)收到关于Apple macOS Monterey安全漏洞(CNNVD-202208-3348、 CVE-2022-32894 )和Apple macOS Monterey安全漏洞
继续阅读微软详述严重的 ChromeOS 漏洞
微软详述严重的 ChromeOS 漏洞 综合编译 代码卫士 2022-08-23 17:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周五,微软详述了ChromeOS 中严重漏洞 (CVE-2022-2587) 的详情。该漏洞可用于执行拒绝服务 (DoS) 攻击,并在一些情况下可导致远程代码执行后果。 CVE-2022-2587是一个界外写漏洞,CVSS评分为9.8,由微软 365
继续阅读苹果曝严重漏洞冲上热搜第一,黑客或可完全接管设备
苹果曝严重漏洞冲上热搜第一,黑客或可完全接管设备 看雪学苑 看雪学苑 2022-08-22 17:58 近日 ,一则关于“苹果曝出严重安全漏洞”的话题登上了微博热搜第一。 据悉,苹果公司发现其存在两个零日漏洞,影响范围涵盖几乎所有苹果产品,而黑客能够利用这些漏洞执行任意代码,从而获得设备的“完全管理权限”并运行其上的任何应用软件。 其中一个漏洞是内核错误(CVE-2022-32894),它同时存在
继续阅读上周关注度较高的产品安全漏洞(20220815-20220821)
上周关注度较高的产品安全漏洞(20220815-20220821) 国家互联网应急中心CNCERT 2022-08-22 16:46 一、境外厂商产品漏洞 1、SAP BusinessObjects Business Intelligence Platform授权问题漏洞 SAP BusinessObjects Business Intelligence Platform是德国思爱普(SAP)公司
继续阅读雷神众测漏洞周报2022.8.15-2022.8.21
雷神众测漏洞周报2022.8.15-2022.8.21 原创 雷神众测 雷神众测 2022-08-22 15:51 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读微软修复”DogWalk “0 day漏洞和其他的17个关键性的漏洞
微软修复”DogWalk “0 day漏洞和其他的17个关键性的漏洞 网络安全应急技术国家工程中心 2022-08-22 15:33 微软正在敦促用户修补一个名为Dogwalk的0 day漏洞,该漏洞目前在野外一直被大量攻击利用。该漏洞(CVE-2022-34713)与微软Windows支持诊断工具有关,它允许远程攻击者在有漏洞的系统上执行任意代码。 该警告是在8月大规模补
继续阅读亚马逊Ring安卓app漏洞可窃取个人信息
亚马逊Ring安卓app漏洞可窃取个人信息 ang010ela 嘶吼专业版 2022-08-22 12:00 亚马逊Ring安卓app漏洞可以访问摄像头记录。 Ring 是亚马逊运行的家用安全环境产品,包含户内外监控摄像头。其中Ring安卓APP下载次数超过1000万次。Checkmarx 安全研究人员在亚马逊Ring安卓APP中发现了一个安全漏洞,攻击者利用该漏洞可以截取受害者手机中的个人数据、
继续阅读精品新课!Windows内核漏洞分析与EXP编写技巧
精品新课!Windows内核漏洞分析与EXP编写技巧 看雪课程 看雪学苑 2022-08-21 17:59 内核,是一个操作系统的核心。 是基于硬件的第一层软件扩充,提供操作系统的最基本的功能,是操作系统工作的基础,它负责管理系统的进程、内存、设备驱动程序、文件和网络系统,决定着系统的性能和稳定性。 作为讲师,一直以来都想找寻一个比较简单、通俗易懂的方法将很难的东西传授给学员,但是“内核“这个知识
继续阅读对一个随身WIFI设备的漏洞挖掘尝试
对一个随身WIFI设备的漏洞挖掘尝试 okCryingFish 看雪学苑 2022-08-21 17:59 本文为看雪论坛精华文章 看雪论坛作者ID:okCryingFish 最近买了一个随时WIFI设备,正好自己在学习漏洞挖掘,于是拿这个练练手。 设备版本信息: software_version = V4565R03C01S61 hardware_version = M2V1 product_m
继续阅读关于Apple操作系统越界写入漏洞和Apple WebKit越界写入漏洞的安全公告
关于Apple操作系统越界写入漏洞和Apple WebKit越界写入漏洞的安全公告 原创 CNVD CNVD漏洞平台 2022-08-21 17:52 安全公告编号:CNTA-2022-0021 2022年8月21日,国家信息安全漏洞共享平台(CNVD)收录了Apple操作系统越界写入漏洞(CNVD-2022-58457,对应CVE-2022-32894)和Apple WebKit越界写入漏洞(C
继续阅读