14x Security Team

日益扩大的IoT僵尸网络威胁或将摧毁互联网IoT_reaper病毒目前支持的设备来自以下厂商的公开漏洞：Dlink（路由器）Netgear（路由器）Linksys（路由器）Goahead（摄像头）JAWS（摄像头）AVTECH（摄像头）Vacron（NVR）研究人员认为，IoT_reaper恶意软件已经感染了近200万台设备，并且每天增加10,000台新设备，速度惊人。这样的情况非常令人担忧，因为去年使用大规模DDoS攻击的Mirai攻击了DNS提供商Dyn，只用到了10万个...

浙江宇视科技诚聘高级安全人才浙江宇视科技有限公司（简称“宇视科技”）是领先的专业视频监控产品及解决方案供应商，秉承深厚的视频技术积累及网络、存储领域的专业能力，致力于面向全球各行业客户提供领先的监控产品与解决方案及专业优质服务。  宇视科技公司在中国31个省/市设立了办事机构，为客户提供近距离高品质的服务，为合作伙伴提供高效优质的支持。秉承华三公司IP监控方案在城域联网、大型园区、广域场所、智能楼宇等领域的领先优势，公司产品及解决方案已广泛应用于公安、政府...

黑客团伙向数百万手机传播病毒被捕10月13日报道，近日，浙江平湖警方远赴北京，捣毁一个特大黑客团伙，抓获犯罪嫌疑人60余名，涉及的手机遍布全国各地，达数百万部，向手机终端传播木马病毒3000多万次，给手机用户造成极大的安全隐患。图为9月29日，经过一昼夜的奔波，专案组成功将嫌疑人押解回平湖。...

这个黑客大赛太能整事儿：AI、机械臂、名嘴、烧脑游戏黑客VS. AI声纹验证挑战，王者荣耀妲己来踢馆？　　今年的GeekPwn大赛，最吸睛的莫过于GeekPwn与腾讯创新大赛联合举办的“人工智能安全挑战专项”，全球顶尖黑客们摩拳擦掌，将开展人工智能保护与人工智能攻击两种模式的比赛。在黑客的手中，耳听为真、立字为据、眼见为实能否被颠覆？　　同时，GeekPwn2017还特别增设了“AI仿生验声攻防赛”。选手们可以根据目标个体的语音特征，模拟合成一段新的音频，给原有系统造成误导，...

code execution代码执行漏洞 code execution代码执行漏洞                 来源：14x如当前的email参数可执行命名管道的的远程代码执行漏洞用法 uname -a | uname -a&uname -a   shell_exec...

两款不错的https抓包协议分析工具 1、charles     http://www.wmzhe.com/soft-29793.html 2、 fidder    http://www.onlinedown.net/soft/73207.htm                    ...

挖洞经验 | 看我如何找到雅虎的远程代码执行漏洞并获得5500刀奖金就在几个月前，安全研究专家在Apache Struts2中发现了一个严重的安全漏洞CVE-2017-5638，可能有些同学已经听说过这件事情。这是一个远程代码执行漏洞，当时互联网中的大量Web应用都受到了这个漏洞的影响。大约三个星期之后，就有研究人员发布了Struts2的漏洞利用代码。在一次挖洞前的侦查过程中，我遇到了下面这条链接：https://svdevems01.direct.gq1.yahoo.c...

漏洞预警 | 斗象科技发现高危Struts2 showcase远程代码执行漏洞（S2-048）在线检测斗象科技旗下产品网藤风险感知（www.riskivy.com）已率先支持该漏洞检测，您可以立即点击试用    漏洞编号CVE-2017-9791S2-048漏洞影响使用 Struts 1 plugin 和 Struts 1 action 的Struts 2.3.x漏洞概述Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目...

【挖洞经验】我如何挖到了一个价值8000美金的Uber漏洞长话短说这个漏洞存在于Uber的central.uber.com节点，它使用了OAuth 2.0协议作为其登录授权机制，但该节点并没有正确使用CSRF参数，这将导致攻击者能够利用这种错误使用的状态参数来执行开放重定向以及Login CSRF，然后在实现重定向之后窃取URL哈希中的访问令牌。central.uber.com的登录流程首先大家要了解central.uber.com的登录流程（修复前），当用户点击了c...

Struts Freemarker曝标签远程代码执行中危漏洞（S2-053）2017年9月7日，Apache Struts发布最新的安全公告（S2-053），漏洞级别为中危，该漏洞由京东安全汇报，CVE编号为CVE-2017-12611。Apache Struts2 Freemarker标签如果被错误的配置使用导致RCE远程代码执行漏洞。受影响版本Struts 2.0.1 – Struts 2.3.33， Struts 2.5 – Struts 2.5.10不受影响版本Str...