搜索精彩内容
包含"the hacker news"的全部内容
制作 Notes.cx — 0xFF
0xFF / 制作 Notes.cx 几天前,我启动了我的最新项目Notes.cx,这是我和妻子在车上时想到的一个小工具。当时,我正在(现在仍然)在我的另一个项目Diary.by上工作,所以我问我的妻子,她...
Cookie-Form型CSRF防御机制的不足与反思
今天看了 https://hackerone.com/reports/26647 有感。这个漏洞很漂亮,另外让我联想到很多之前自己挖过的漏洞和写过的程序,有感而发。 Django已经在昨天修复了该漏洞 https://www.djangoproj...
三个案例看Nginx配置安全
之前在Sec-News中推荐了一个开源程序 https://github.com/yandex/gixy ,作用是来检测Nginx配置文件中存在的问题。正好Pwnhub上周的比赛也出现了一道题,包含由Nginx配置错误导致的漏洞。 所以...
Python安全 – 从SSRF到命令执行惨案
前两天遇到的一个问题,起源是在某个数据包里看到url=这个关键字,当时第一想到会不会有SSRF漏洞。 以前乌云上有很多从SSRF打到内网并执行命令的案例,比如有通过SSRF+S2-016漏洞漫游内网的案例...
Cookie-Form型CSRF防御机制的不足与反思
今天看了 https://hackerone.com/reports/26647 有感。这个漏洞很漂亮,另外让我联想到很多之前自己挖过的漏洞和写过的程序,有感而发。 Django已经在昨天修复了该漏洞 https://www.djangoproj...
三个案例看Nginx配置安全
之前在Sec-News中推荐了一个开源程序 https://github.com/yandex/gixy ,作用是来检测Nginx配置文件中存在的问题。正好Pwnhub上周的比赛也出现了一道题,包含由Nginx配置错误导致的漏洞。 所以...
Python安全 – 从SSRF到命令执行惨案
前两天遇到的一个问题,起源是在某个数据包里看到url=这个关键字,当时第一想到会不会有SSRF漏洞。 以前乌云上有很多从SSRF打到内网并执行命令的案例,比如有通过SSRF+S2-016漏洞漫游内网的案例...
安全威胁情报周报(2021.06.19-06.25) – 作者:Threatbook
一周情报摘要金融威胁情报继内蒙古、青海之后,四川清理关停虚拟货币“挖矿”虚拟货币遭致命重击:央行约谈六大机构香港证券交易所在内的多家金融机构因网络服务中断遭受影响FIN7 冒充美国证券...
“致命”漏洞!医疗系统安全飞利浦Vue PACS医学成像系统存在严重缺陷 – 作者:中科天齐软件安全中心
Philips临床协作平台门户(又名Vue PACS)披露了多个安全漏洞,其中一些漏洞可能被对攻击者用来控制受影响的系统。美国网络安全和基础设施安全局在一份报告中指出,成功利用这些漏洞可能允许未经...
第三方依赖关系的风险:利用数十个易受攻击的 NuGet包瞄准 .NET 平台 – 作者:奇安信代码卫士
研究人员分析NuGet 仓库上托管的现成可用软件包后指出,51个唯一的软件组件易受多个可活跃利用高危漏洞的影响,再次说明了第三方依赖关系对软件开发进程所带来的威胁。当前针对软件供应链的网络...
