TAG：攻击者

做啦 9 月 26 日消息微软 Edge 和谷歌 Google 浏览器都已经发布了最新的稳定版本，修补了一个关键的基于 Chromium 的 Use-After-Free（UAF）漏洞，该漏洞允许攻击者执行任意代码。该漏洞已被分配 ID“CVE-2021-37973”，由谷歌安全工程师 Clément Lecigne 在 Sergei Glazunov 和 Mark Brand 等人的协助下发现。谷歌表示，它在其门户功能中发现了 UAF 漏洞，远程攻击者可以利用该漏洞在系统上执行任意代码或造成拒...

8 月 19 日消息，本周二，美国联邦网络安全和基础设施安全局（CISA）公布了一个影响数以千万计的物联网设备的严重漏洞，攻击者不仅能够通过该漏洞看到安全网络摄像头等设备拍摄的实时视频，还能利用该漏洞控制这些设备。美国网络安全公司 Mandiant 在 2020 年末发现了这一漏洞。该公司称，这一漏洞影响了超过 8300 万台网络设备，不过他们无法确定受到漏洞影响的产品和公司的完整名单。一、SDK 出漏洞，8300 万台智能设备受影响一个漏洞潜伏在包括网络摄像头等多种智能设备中，可能会使攻击者通...

北京时间 7 月 20 日早间消息，Amnesty International 周日发布报告称，苹果 iPhone 存在漏洞，可以通过黑客软件窃取敏感数据，而且不需要手机用户点击链接。报告发现，iPhone 如果感染 NSO Group 的 Pegasus 恶意软件，攻击者就能窃取信息和邮件，甚至可以控制手机麦克风摄像头。有些政府部门会使用 NSO Group 软件，黑客可以用苹果不知道的方法窃取数据，即使 iPhone 软件保持在最新状态，也无法阻止使用昂贵机密间谍软件的攻击者。一般来说，如果...

做啦 7 月 11 日消息远程 IT 服务管理软件 Kaseya VSA 近日遭到了勒索软件攻击，被入侵了 100 多万台电脑，攻击者索要 7000 万美元。据彭博社，Kaseya 的前员工称，他们在 2017 年至 2020 年间多次警告高管 Kaseya 的产品存在“严重”安全漏洞，但该公司并未真正解决这些漏洞。据报道，员工抱怨 Kaseya 堆满了陈旧的代码，采用了糟糕的加密技术，甚至不能定期发布补丁。一名员工声称，他向高管发送了一份 40 页的关于安全问题的简报，结果在两周后被解雇。其他...

dedecms的/member/soft_add.php中，对输入模板参数$servermsg1未进行严格过滤，导致攻击者可构造模版闭合标签，实现模版注入进行GETSHELL。 打开文件/member/soft_add.php，搜索（大概在154行）： $urls .= {d...

0x01 漏洞概述 Desdev DedeCMS 5.7 SP2版本中的uploads/include/dialog/select_images_post.php文件存在文件上传漏洞，远程攻击者可利用该漏洞上传并执行任意PHP代码。 最新的DEDECMS系统存在前台文件上传漏洞，...

很多用户用到阿里云服务器，会经常碰到各种安全提示，不得不说阿里云这一块做的还是很不错的。今天介绍下【阿里云提示织梦dedecms模版SQL注入漏洞修复方法】。 问题原因： dedecms的/membe...

近期不少用户被爆织梦程序漏洞，那么黑客都是利用什么方法达到WebShell目的呢。 织梦后台功能强大，也造成了有些地方存在跨站请求伪造漏洞。远程攻击者可通过提交特制的请求利用达到写...

dedecms的/member/soft_add.php中，对输入模板参数$servermsg1未进行严格过滤，导致攻击者可构造模版闭合标签，实现模版注入进行GETSHELL。 打开文件/member/soft_add.php，搜索（大概在154行）： $urls .= {d...

漏洞描述： dedecms的/member/soft_add.php中，对输入模板参数$servermsg1未进行严格过滤，导致攻击者可构造模版闭合标签，实现模版注入进行GETSHELL。 修补方法： /member/soft_add.php文件154行，找到以下...

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意 攻击用户的特殊目的。...