14x Security Team

展开菜单

挖洞经验 | 看我如何找到雅虎的远程代码执行漏洞并获得5500刀奖金

挖洞经验 | 看我如何找到雅虎的远程代码执行漏洞并获得5500刀奖金
挖洞经验 | 看我如何找到雅虎的远程代码执行漏洞并获得5500刀奖金就在几个月前,安全研究专家在Apache Struts2中发现了一个严重的安全漏洞CVE-2017-5638,可能有些同学已经听说过这件事情。这是一个远程代码执行漏洞,当时互联网中的大量Web应用都受到了这个漏洞的影响。大约三个星期之后,就有研究人员发布了Struts2的漏洞利用代码。在一次挖洞前的侦查过程中,我遇到了下面这条链接:https://svdevems01.direct.gq1.yahoo.c...

漏洞预警 | 斗象科技发现高危Struts2 showcase远程代码执行漏洞(S2-048)

漏洞预警 | 斗象科技发现高危Struts2 showcase远程代码执行漏洞(S2-048)
漏洞预警 | 斗象科技发现高危Struts2 showcase远程代码执行漏洞(S2-048)在线检测斗象科技旗下产品网藤风险感知(www.riskivy.com)已率先支持该漏洞检测,您可以立即点击试用    漏洞编号CVE-2017-9791S2-048漏洞影响使用 Struts 1 plugin 和 Struts 1 action 的Struts 2.3.x漏洞概述Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目...

【挖洞经验】我如何挖到了一个价值8000美金的Uber漏洞

【挖洞经验】我如何挖到了一个价值8000美金的Uber漏洞
【挖洞经验】我如何挖到了一个价值8000美金的Uber漏洞长话短说这个漏洞存在于Uber的central.uber.com节点,它使用了OAuth 2.0协议作为其登录授权机制,但该节点并没有正确使用CSRF参数,这将导致攻击者能够利用这种错误使用的状态参数来执行开放重定向以及Login CSRF,然后在实现重定向之后窃取URL哈希中的访问令牌。central.uber.com的登录流程首先大家要了解central.uber.com的登录流程(修复前),当用户点击了c...

Struts Freemarker曝标签远程代码执行中危漏洞(S2-053)

Struts Freemarker曝标签远程代码执行中危漏洞(S2-053)
Struts Freemarker曝标签远程代码执行中危漏洞(S2-053)2017年9月7日,Apache Struts发布最新的安全公告(S2-053),漏洞级别为中危,该漏洞由京东安全汇报,CVE编号为CVE-2017-12611。Apache Struts2 Freemarker标签如果被错误的配置使用导致RCE远程代码执行漏洞。受影响版本Struts 2.0.1 – Struts 2.3.33, Struts 2.5 – Struts 2.5.10不受影响版本Str...

漏洞预警 | Windows修复两个严重远程代码执行漏洞(CVE-2017-8543/8464)

漏洞预警 | Windows修复两个严重远程代码执行漏洞(CVE-2017-8543/8464)
漏洞预警 | Windows修复两个严重远程代码执行漏洞(CVE-2017-8543/8464)微软的Patch Tuesday更新发布了多达95个针对Windows、Office、Skype、IE和Edge浏览器的补丁。其中27个涉及远程代码执行,18个补丁被微软设定为严重(Critical),76个重要(Important),1个中等(Moderate)。其中,最危险的两个漏洞存在于Windows Search功能和处理LNK文件的过程中。利用第一个漏洞,黑客可以...

Nexusguard(耐誉斯凯) 招聘网络安全系统研发工程师

 Nexusguard(耐誉斯凯) 招聘网络安全系统研发工程师
Nexusguard(耐誉斯凯) 招聘网络安全系统研发工程师网络安全系统研发工程师.岗位职责:1. 负责基于云端的网络安全防护系统的设计和开发;2. 负责基于HTTP协议的流量优化、加速及安全防护功能开发;3. 负责云安全防护系统的性能调优、测试;4. 负责开发文档的编写、产品或项目的Bug修复。职位技能要求:1. 本科及以上学历,计算机相关专业2. 3年以上Linux/Unix开发经验,熟悉Linux操作系统,熟练掌握多线程,多进程开发技术3. 熟悉epoll, 有高性能网...

医用注射泵中存在 8 个安全漏洞

医用注射泵中存在 8 个安全漏洞
医用注射泵中存在 8 个安全漏洞安全研究人员目前发现在明尼苏达州特种医疗器械制造商 Smiths Medical 制造的 Medfusion 4000 无线注射输液泵中存在八个安全漏洞。这家企业,史密斯医疗可以说是一家全球知名的医疗设备和器材供应商,它的产品广泛应用在全球的医院和护理机构中。而注射泵则是医疗设备中保障输液精度时使用的医疗器械,通常在急性重症监护及手术等情况中。而研究员 Scott Gayou 发现的这些漏洞评级为 high ,远程攻击者可以获取权限访问注射...

北京安普诺高薪聘请安全人才(期权激励)

 北京安普诺高薪聘请安全人才(期权激励)
北京安普诺高薪聘请安全人才(期权激励)公司网站:http://www.anpro-tech.com/产品网站:http://www.x-mirror.cn/招聘信息招聘部门:悬镜安全实验室岗位:安全服务工程师(北京)岗位职责:1、参与安全服务项目实施,包括信息化系统渗透测试(外网/内网)、防黑加固及针对入侵事件的应急响应处理;2、完成安全服务项目报告编写,为客户提供安全解决方案;任职要求:1、熟悉OWASP TOP 10漏洞原因与修复方案;2、熟悉安全测试工具使用,可独立完成...

招商银行招聘信息安全管理岗位

招商银行招聘信息安全管理岗位
招商银行招聘信息安全管理岗位招商银行,是中国第一家完全由企业法人持股的股份制商业银行,简称招行,成于1987年4月8日,由香港招商局集团有限公司创办,是中国内地规模第六大的银行、香港中资金融股的八行五保之一。其总行设在深圳市福田区,2002年4月9日,招商银行A股在上海证券交易所挂牌上市。2006年9月8日,招商银行开始在香港公开招股,发行约22亿股H股,集资200亿港元,并在9月22日于港交所上市。资本净额超过2900亿、资产总额超过4.4万亿。安全管理岗(地点:深圳)要求...