精华内容
下载资源
问答
  • 常见安全漏洞

    千次阅读 2016-12-19 14:06:29
    常见安全漏洞
     1 SQL注入

    许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,(一般是在浏览器地址栏进行,通过正常的www端口访问)根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection ,即SQL注入。
    其主要危害有:在未经授权状况下操作数据库中的数据;恶意篡改网页内容;私自添加系统帐号或者是数据库使用者帐号;网页挂木马等。

    SQL注入被广泛用于非法入侵网站服务器,获取网站控制权。它是应用层上的一种安全漏洞。通常在设计存在缺陷的程序中,对用户输入的数据没有做好过滤,导致恶意用户可以构造一些SQL语句让服务器去执行,从而导致数据库中的数据被窃取,篡改,删除,以及进一步导致服务器被入侵等危害。

    2 XSS

    XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
    其主要危害有:攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、ActiveX或Flash以欺骗用户。一旦得手,他们可以盗取用户帐户,修改用户设置,盗取/污染cookie,做虚假广告等。

    发生在客户端DOM(Document Object Model文档对象模型)DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些是用户可以操纵的,如uRI ,location,refelTer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不需要提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞


    3 信息泄露


    信息泄露是指应用程序泄露应该保密的信息,例如客户端注释中泄露敏感信息、系统日志泄露敏感信息等。这些泄露的信息可能会对攻击者进一步了解应用程序,以致攻击应用程序提供一定的帮助。

    用户认证信息明文传输: 用户认证信息不是通过https加密信道传输,导致用户名密码等敏感信息泄露。

    4 越权漏洞

    越权漏洞是指由于应用程序未正确实现授权功能,造成用户可以执行其没有资格执行的操作,包括可以查看或修改他本身没资格查看或修改的资源,以及可以执行用户本身没有的功能。


    5 暴力破解

    暴力破解是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。攻击者利用该漏洞可以破解存在该漏洞的应用程序的用户密码。


    6 文件上传漏洞

    文件上传漏洞是由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。恶意攻击者利用该漏洞可以直接向服务器上传一个 webshell( 又称 ASP 木马、PHP 木马等即利用服务器端的文件操作语句写成的动态网页,可以用来编辑你服务器上的文件 ),从而控制该网站。


    7 CSRF

    跨站请求伪造(CSRF)是 Web 应用程序一种常见的漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量 Web 2.0 技术的应用的背景下,CSRF 攻击完全可以在用户法毫无察觉的情况下发起攻击。发起的目标都是通过伪造一个用户请求,该请求不是用户想发出去的请求,而对服务器或服务来说这个请求是完全合法的一个请求,但是却完成了一个攻击者所期望的操作,比如添加一个用户到管理者的群组中,或将一个用户的现金转到另外的一个帐户中。


    8 路径遍历漏洞

    许多功能强迫Web应用程序根据用户在请求中提交的参数向文件系统读取或写入数据。如果以不安全的方式执行这些操作,攻击者就可以提交专门设计的输入,使得应用程序访问开发者并不希望他访问的文件,这就是路径遍历漏。攻击者可利用这种缺陷读取密码和应用程序日志之类的敏感数据,或者复写安全性至关重要的数据项,如配置文件和软件代码。在最为严重的情况下,这种漏洞可使攻击者能够完全攻破应用程序与基础操作系统。


    9 服务器开启了不安全的http方法

    OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。开启该方法有可能泄漏一些敏感信息,为攻击者发起进一步攻击提供信息。

    TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本(简称XSS)攻击,这种攻击方式又称为跨站跟踪攻击(简称XST)。

    展开全文
  • 安全漏洞之host头攻击漏洞

    千次阅读 2020-03-27 20:05:22
    安全漏洞之host头攻击漏洞 漏洞描述 渗透测试人员发现,抓包修改host头,在返回包中的base标签中的值会随host值改变,说明存在host头攻击漏洞。 漏洞建议 建议使用SERVER_NAME而不是hostheader。 脆弱性...

                                 安全漏洞之host头攻击漏洞

    漏洞描述

    渗透测试人员发现,抓包修改host头,在返回包中的base标签中的值会随host值改变,说明存在host头攻击漏洞。

    漏洞建议

    建议使用SERVER_NAME而不是host header。

     

    脆弱性评价:

    严重程度

     

     

    修复过程:

    web.xml:

    <servlet>
            <servlet-name>image</servlet-name>
            <servlet-class>com.linkage.component.util.file.ImageServlet</servlet-class>
        </servlet>
        
        <servlet-mapping>
            <servlet-name>bssframe</servlet-name>
            <url-pattern>/portal</url-pattern>
        </servlet-mapping>
        
        <servlet-mapping>
            <servlet-name>attach</servlet-name>
            <url-pattern>/attach</url-pattern>
        </servlet-mapping>
        
        <servlet-mapping>
            <servlet-name>image</servlet-name>
            <url-pattern>/image</url-pattern>
        </servlet-mapping>
    
    	<session-config>
    		<session-timeout>480</session-timeout>
    	</session-config>

    ImageServlet.java:

    //
    // Source code recreated from a .class file by IntelliJ IDEA
    // (powered by Fernflower decompiler)
    //
    
    package com.linkage.component.util.file;
    
    import com.linkage.appframework.common.Common;
    import com.linkage.appframework.data.IData;
    import com.linkage.component.AppServlet;
    import com.linkage.component.PageData;
    import com.linkage.component.bean.adm.UtilBean;
    import com.linkage.webframework.util.file.FileMan;
    import com.linkage.webframework.util.file.ImageMan;
    import java.io.IOException;
    import java.io.PrintWriter;
    import javax.servlet.ServletException;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    import org.apache.commons.fileupload.FileItem;
    
    public class ImageServlet extends AppServlet {
        public static final String IMAGE_ACTION_UPLOAD = "upload";
        public static final String IMAGE_ACTION_VIEW = "view";
        public static final String IMAGE_VIEW_VALIDATE = "validate";
        public static final String IMAGE_VIEW_FILE = "file";
        protected Common common = Common.getInstance();
    
        public ImageServlet() {
        }
    
        public void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            try {
                this.servletInit(request, response);
                PageData pd = this.getPageData();
                UtilBean bean = new UtilBean();
                String action = pd.getParameter("action", "view");
                String mode;
                String width;
                if ("upload".equals(action)) {
                    mode = pd.getParameter("IMAGE_WIDTH");
                    width = pd.getParameter("IMAGE_HEIGHT");
                    FileItem item = pd.getFileItem("IMAGE_PATH");
                    IData data = bean.createFile(pd, item, "2", "1");
                    StringBuffer src = new StringBuffer();
                    src.append("image?file_id=" + data.get("FILE_ID"));
                    if (!"".equals(mode)) {
                        src.append("&width=" + mode);
                    }
    
                    if (!"".equals(width)) {
                        src.append("&height=" + width);
                    }
    
                    StringBuffer image = new StringBuffer();
                    image.append("<img src='" + src + "'");
                    image.append("\t  border='" + pd.getParameter("IMAGE_BORDER") + "'");
                    image.append("\t  hspace='" + pd.getParameter("IMAGE_HORI") + "'");
                    image.append("\t  vspace='" + pd.getParameter("IMAGE_VERT") + "'");
                    image.append("\t  alt='" + pd.getParameter("IMAGE_DESC") + "'");
                    image.append("\t  align='" + pd.getParameter("IMAGE_ALIGN") + "'");
                    image.append("/>");
                    PrintWriter out = response.getWriter();
                    out.println("<script language=\"javascript\"><!--");
                    out.print("window.returnValue = \"" + image + "\"; window.close();");
                    out.println("// --></script>");
                }
    
                if ("view".equals(action)) {
                    mode = pd.getParameter("mode", "file");
                    width = pd.getParameter("width");
                    String height = pd.getParameter("height");
                    String file_id;
                    
    
                    if ("validate".equals(mode)) {
                        String query = request.getQueryString();
                        String[] arrs = new String[]{"|", "$", "'", "'", "(", "CR", "(HOST)", "</script>", "--", "%", "LF", "(host)", "<", "script", "@", "+", "<>"};
                        int num = 0;
    
                        for(int i = 0; i < arrs.length; i++) {
                            if (arrs[i].length() > 0 && query.indexOf(arrs[i]) > 0) {
                                log.debug("HOST WARNING !!!--->( " + arrs[i] + " ) ");
                                num++;
                            }
                        }
    
                        if (num > 0) {
                            this.common.error("您采取非法登陆方式,参数含有特殊字符,拒绝访问");
                        }
    
                        file_id = ImageMan.showValidateImage(response, Integer.parseInt(width), Integer.parseInt(height));
                        request.getSession().setAttribute("VERIFY_CODE", file_id);
    
                        String verify_code = ImageMan.showValidateImage(response, Integer.parseInt(width), Integer.parseInt(height));
                        request.getSession().setAttribute("VERIFY_CODE", verify_code);
                    }
    
                    if ("file".equals(mode)) {
                        file_id = pd.getParameter("file_id");
                        String file_path = pd.getParameter("file_path");
                        if (file_id == null) {
                            ImageMan.showImage(response, file_path, FileMan.getFileType(file_path), width, height);
                        } else {
                            IData data = bean.queryFile(pd, file_id);
                            if (data == null) {
                                this.common.error("文件记录 " + file_id + " 不存在!");
                            }
    
                            String full_name = (String)data.get("FILE_PATH") + "/" + data.get("FILE_ID");
                            String file_name = (String)data.get("FILE_NAME");
                            ImageMan.showImage(response, full_name, FileMan.getFileType(file_name), width, height);
                        }
                    }
                }
            } catch (Exception var17) {
                this.servletReseted();
                this.setErrorInfo(var17);
            } finally {
                this.servletDetached();
            }
    
        }
    }
    

    home.java:

    //防止host头攻击漏洞
            String host =pd.getRequest().getHeader("referer");
            log.debug("host--------->"+host);
            String[] arrs ={"|","$","'","\'","(","CR","(HOST)","</script>","--","%","LF","(host)","<","script","@","+","<>"};
            int num=0;
            for(int i=0;i<arrs.length;i++){
                if(arrs[i].length()>0 && host.indexOf(arrs[i])>0 ){
                    log.debug("HOST WARNING !!!--->( " + arrs[i] + " ) ");
                    num++;
                }
            }
            if(num>0){
                common.error("您采取非法登陆方式,参数含有特殊字符,拒绝访问");
            }

     

    展开全文
  • 1.6.2 安全漏洞披露方式  针对漏洞的公开披露策略与道德准则,在安全社区中曾爆发无数次的辩论,归纳起来,主要有如下四种主要的安全漏洞披露方式。 (1) 完全公开披露  发现漏洞后直接向公众完全公开安全漏洞...

    1.6.2 安全漏洞披露方式

             针对漏洞的公开披露策略与道德准则,在安全社区中曾爆发无数次的辩论,归纳起来,主要有如下四种主要的安全漏洞披露方式。

    (1)      完全公开披露

             发现漏洞后直接向公众完全公开安全漏洞技术细节,这使得软件厂商需要赶在攻击者对漏洞进行恶意利用之前开发并发布出安全补丁,然而这通常是很难做到的,因此这种方式也被软件厂商称为不负责任的披露。

    (2)      负责任的公开披露

    负责任的公开披露是在真正进行完全公开披露之前,首先对软件厂商进行知会,并为厂商提供一段合理的时间进行补丁开发与测试,然后在软件厂商发布出安全补丁,或者软件厂商不负责地延后补丁发布时,再对安全社区完全公开技术漏洞技术细节。

    (3)      进入底下经济链

             随着漏洞的经济价值逐步被安全研究者所认识,一部分黑客认为不应免费给软件厂商打工帮助他们抓bug。有一些安全公司通过向安全研究人员收购高价值的安全漏洞,并出售给政府部门等客户来赢取经济利益。

    (4)      小范围利用直至被动披露

             在安全社区所发现的安全漏洞中,也有一部分并没有首先通报给软件厂商,在小范围内进行利用,进而逐步扩大影响范围,最终被恶意代码广泛利用从而危害庞大的互联网用户群体。

             无论以何种方式进行公开披露,已公布的安全漏洞信息都会被收集到业界知名的CVE、NVD、SecurityFocus、OSVDB等几个通用漏洞信息库中。

    1.6.3 安全漏洞公共资源库

             国内的安全漏洞信息库主要包括:

    CNNVD:中国国家漏洞库,由中国信息安全评测中心维护(www.cnnvd.org.cn)。

    CNVD:中国国家信息安全漏洞共享平台,由国家计算机网络应急技术处理协调中心(CNCERT/CC)维护(www.cnvd.org.cn)。

    SCAP中文社区http://www.scap.org.cn

    国外的安全漏洞信息库主要包括:

    CVE:(Common Vulnerability and Exposures,通用漏洞与披露)已成为安全漏洞命名索引的业界事实标准,由美国国土安全资助的MITRE公司负责维护,CVE漏洞库为每个确认的公开披露安全漏洞提供了索引CVE编号,以及一段简单的漏洞信息描述,而这个CVE编号就作为安全业界标识该漏洞的标准索引号。

    NVD:(National Vulnerability Database,国家漏洞数据库)是美国政府官方根据NIST的SCAP标准协议所描述的安全漏洞管理信息库,具体由美国国土安全部下属的NCSD国家国际安全部门US-CERT组负责维护。

    SecurityFocus:起源于业内著名的Bugtraq邮件列表。2002年SecurityFocus网站被Symantec公司所收购,从Bugtraq邮件列表中也演化出SecurityFocus安全漏洞信息库,为业界的安全研究人员提供所有平台和服务上最新的安全漏洞信息。

    OSVDB:(Open Source Vulnerability DataBase,开源漏洞数据库)由HD Moore参与发起,由安全社区创建一个独立的、开源的安全漏洞信息库,为整个安全社区提供关于安全漏洞的准确、详细、及时、公正的技术信息,为促使软件厂商与安全研究人员更友好、更开放地合作,消除开放和维护私有安全漏洞信息库所带来的冗余工作量和花费。

             针对已知安全漏洞的公开渗透代码资源也会在安全社区中流传与共享,如前安全社区比较知名的渗透攻击代码共享站点包括Metasploit、Exploit-db、PacketStorm、CXSECURITY等,具体内容如下表所示:

    网站名称

    站点网址

    Metasploit(rapid7)            

           https://www.rapid7.com/db/modules/      

    Exploit-db

           https://www.exploit-db.com/

    PacketStorm

          https://packetstormsecurity.com/

    CXSECURITY

          https://cxsecurity.com/

    SecurityVulns

          https://securityvulns.com/

     

    展开全文
  • 三个安全漏洞问题为scp相关问题,出现在openssh-client。 解决办法: 目前发现成功解决该问题的方式是在openssh官网中找到,官网于4月26日发布最新OpenSSH 8.0版本中提到: 原引:...

    漏洞情况

    如标题三个漏洞未2019年1月26日发布,发现存在该问题的设备使用的是OpenSSH 7.9版本。
    三个安全漏洞问题为scp相关问题,出现在openssh-client。

    解决办法:

    目前发现成功解决该问题的方式是在openssh官网中找到,官网于4月26日发布最新OpenSSH 8.0版本中提到:
    原引:https://www.openssh.com/txt/release-8.0
    This release includes a number of changes that may affect existing
    configurations:

    • scp(1): Relating to the above changes to scp(1); the scp protocol
      relies on the remote shell for wildcard expansion, so there is no
      infallible way for the client’s wildcard matching to perfectly
      reflect the server’s. If there is a difference between client and
      server wildcard expansion, the client may refuse files from the
      server. For this reason, we have provided a new “-T” flag to scp
      that disables these client-side checks at the risk of
      reintroducing the attack described above.

    OpenSSH 8.0版本修复了scp存在的问题,更新最新的OpenSSH版本可以修复漏洞。CentOS 7上更新操作和OpenSSH 7.9版本类似,对应位置换成8.0即可,可参考:
    https://blog.csdn.net/weixin_43103905/article/details/87185884

    其他可能的解决方式(建议可以在测试机进行尝试):尝试禁用scp服务

    展开全文
  • 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些...
  • APPScan安全漏洞扫描

    千次阅读 2018-04-16 20:07:02
    IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 ...
  • 关于rabbitmq安全漏洞的问题

    千次阅读 2017-02-17 09:48:46
    而最近呢,我们收到了一份关于安全漏洞扫描的文档,说我们的rabbitmq存在着一些安全漏洞问题,既然是有问题,自然是需要整改的,但是看完文档以后,发现这种安全漏洞问题似乎并不是很好解决。 文档中指出的问题主要...
  • 安全漏洞概念及分类

    万次阅读 2016-10-12 16:50:48
    本文是一个安全漏洞相关的科普,介绍安全漏洞的概念认识,漏洞在几个维度上的分类及实例展示。 安全漏洞及相关的概念 本节介绍什么是安全漏洞及相关的概况。 安全漏洞的定义 我们经常听到漏洞这个概念,可...
  • 前言:公司项目交付之前甲方进行了安全漏洞的扫描。大部分漏洞都是因为nginx响应没有加上仿攻击的响应头。记录一下漏洞以及解决方法 1.检测到目标URL存在相对路径覆盖(RPO)漏洞 该漏洞是因为一下原因: --访问...
  • 移动客户端安全漏洞等级划分

    千次阅读 2018-10-28 15:44:08
    移动客户端安全漏洞等级划分 移动客户端安全漏洞等级划分 我们将漏洞危害程度分为:严重、高危、中危、低危、无危险五个等级。其中定义移动客户端安全漏洞为以Flyme为核心的移动客户端安全漏洞。包括Flyme系统、...
  • 安全漏洞预警通告-Oracle WebLogic组件高危漏洞预警  1、基本情况  Oracle于4月17日发布安全公告。该安全公告披露WebLogic服务器存在多个高危漏洞,影响到多个WebLogic组件。攻击者利用漏洞可远程获取WebLogic...
  • 典型的安全漏洞生命周期

    千次阅读 2018-08-08 15:22:04
    1)安全漏洞研究与挖掘 由高技术水平的黑客与渗透测试师开展,主要利用源代码审核(白盒测试)、逆向工程(灰盒测试)、Fuzz测试(黑盒测试)等方法,挖掘出目标系统中存在的可被利用的安全漏洞 2)渗透代码开发与...
  • 1  Oracle Database Server远程安全漏洞(CVE-2015-4863) 2  Oracle Database Server OJVM 本地安全漏洞(CVE-2017-10202) 3  Oracle Database Server Java VM组件安全漏洞(CVE-2018-3110) 4  Oracle Database ...
  • 下面是根据笔者从事软件代码安全检测工作的经验以及对开源组件、第三库安全漏洞检测工具的市场调研所获得的资料,如有错误或不妥之处,还请各位指正。如果表格中有一些未知信息你了解,请给帮我补充。让我们更多的...
  • 【漏洞公告】Spring 框架及组件多个安全漏洞 2018年5月8日,阿里云云盾应急响应中心监测到Spring官方发布3个严重,2个高危漏洞,漏洞涉及Spring Messaging组件,Spring Security框架,Spring Data 框架等多个模块,...
  • 过去外界曾抨击NSA隐匿安全漏洞,只为追求网络间谍与攻击的做法罔顾广大用户的权益,才使得这次NSA主动向微软通报安全漏洞的事件跃上媒体标题。 CVE-2020-0601漏洞位于Window的加密组件CryptoAPI。 CryptoAPI是微软...
  • Web安全漏洞分类

    千次阅读 2012-10-15 13:54:24
    1.1 Web安全漏洞分类 Web安全漏洞可以分为两类:一类包括平台的安全漏洞,另一类是应用自身的安全漏洞。 1.1.1 Web平台的安全漏洞 Web平台自身的安全漏洞——许多Web应用程序共享的部分,例如Linux、Windows、...
  • 第一个记录的安全漏洞是常见的文件包含漏洞,原理很枯燥,通过实验学习效果更好。 时间环境: DVWA 环境(通过安装owasp实现) win7虚拟机(为了安全,尽量在虚拟机上完成) 一台web服务器(推荐阿里云的轻量级应用...
  • 不安全配置Nginx可能导致的安全漏洞

    千次阅读 2017-10-25 13:59:48
    不安全配置Nginx可能导致的安全漏洞 2017-10-13 旗云科技 金融安全家 在渗透测试过程中发现很多网站使用了nginx或者tenginx来做反向代理,ningx的配置文件nginx.conf的一些错误配置可能引发一些安全漏洞。下面...
  • Web 安全漏洞之文件上传

    千次阅读 多人点赞 2019-07-03 19:00:00
    奇技指南文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器上,当开发者没有对该文件进行合理的校验及处理的时候,很有可能让程序执行这个上传文件导致安全漏洞。本文转载自...
  • TOP 10 安全漏洞

    千次阅读 2015-05-09 07:12:19
    TOP 10 安全漏洞 1 弱口令  弱的、易于猜中的和重新使用以前用过的口令都损害安全。测试账户拥有的口令强度弱且几乎没有监控。不要在系统或因特网站点重新使用口令。 2 没有打过补丁的软件 ...
  • Openfire TLS Client-initiated重协商安全漏洞(CVE-2011-1473),怎么样解决,openfire4.2.3最新版本也有这个安全漏洞
  • 解密智能合约TOP10安全漏洞

    万次阅读 2018-11-22 15:26:19
    以下都是来自我的新作《解密EVM机制及合约安全漏洞》里的内容 电子版PDF下载:https://download.csdn.net/download/softgmx/10800947   重入问题 漏洞成立的条件: 合约调用带有足够的gas 有转账功能...
  • 智能手机的安全漏洞如何检测? 每天有多少移动设备接入你的网络? 云计算下的安全漏洞如何管理? 交换机、路由器、打印机是否会引入安全风险? 安全策略是否已得到正确执行? 现存的安全...
  • 有哪些网络安全漏洞存在?

    千次阅读 2019-04-20 15:34:47
    根据国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD,)统计的本周信息安全漏洞威胁整体评价级别为中。CNVD是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文...
  • APP安全漏洞学习笔记

    千次阅读 2016-12-28 21:46:16
    APP安全漏洞学习笔记 本文首先明确了APP安全的目标,然后对常见的APP漏洞进行了整理分析,并研究学习了APK的静态分析与动态分析技术,最后介绍了安卓的渗透测试技术和常见的安全评估工具。附录处整理了2014年和...
  • 昨天,苹果iOS/OS X被曝出重大安全漏洞,攻击者可以通过此漏洞窃取多达上千个应用的密码,漏洞一旦被黑客掌握,其后果将是毁灭性的。不过好在这个漏洞的发现者是一群研究人员,而且他们已将漏洞问题汇报给苹果公司。...
  • Android手机App安全漏洞整理

    千次阅读 2019-02-27 16:07:11
    1.源码安全漏洞 1.1 代码混淆漏洞 当前APK文件的安全性是非常令人堪忧的。APK运行环境依赖的文件/文件夹 res、DEX、主配文件Lib 只有简单的加密或者甚至没有任何加密。诸如apktool这类工具可轻易将其破解,再配合...
  • 宝塔紧急安全漏洞

    千次阅读 2020-08-23 20:59:26
    2020年8月23日晚间,宝塔官方紧急推送安全更新,修复了一处在7.4.2版本中的高危漏洞,攻击者可利用此漏洞越权访问数据库,甚至获取服务器权限。 2、漏洞影响版本 版本7.4.2 3、漏洞危害 此版本宝塔面板在部署...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 43,510
精华内容 17,404
关键字:

安全漏洞