CVE-2016-10277是存在于摩托罗拉系列手机的bootloader高危漏洞，可以通过内核命令注入劫持手机的启动流程，加载攻击者控制的initramfs，从而达到root提权的目的。我们手上正好有一个摩托罗拉的MOTO X手机，于是参照[1]的漏洞...

一、 发现过程时间回到5月8号的中午12点30分，饭后同事说新出的Jenknis漏洞RCE的EXP网上已经在转播了，当时记得那个漏洞是大概在5月1号出的，然后在网上迅速流出针对Jenknis2.23.1的RCE漏洞POC和EXP。随后上了Fofa进行查询...

最近有白帽在HackerOne平台上报了ffmpeg漏洞，该漏洞利用ffmpeg的HLS播放列表处理方式，可导致本地文件曝光。漏洞描述6月24日，HackerOne平台名为neex的白帽子针对俄罗斯最大社交网站VK.com上报了该漏洞，并因此获得1000美元...

对内容管理系统的开发来说，一个重要和关键的步骤就是账户的身份认证实现。身份认证功能可以管理用户登录行为和会话，作出有效的登录访问控制。通常，这种认证功能一般由用户名和密码来实现，但在实际应用场景中，某些重要的内...

两周前我们曾经预警过一个Samba远程代码执行漏洞，这款漏洞能够影响影响7年前的Samba版本，黑客可以利用漏洞进行远程代码执行。更多漏洞原理及利用细节可以参考我们之前的报道<点击阅读原文查看链接>。由于具备与永恒之...

6月13日，微软发布补丁修复两个严重远程代码执行漏洞，分别存在于LNK文件和Windows Search功能中。概述微软的Patch Tuesday更新发布了多达95个针对Windows、Office、Skype、IE和Edge浏览器的补丁。其中27个涉及远程代码...

上月初，启明星辰ADLab提交了四个存在于Linux内核的远程漏洞，并命名为“Phoenix Talon”；其中一个漏洞为严重(Critical)级别，另外三个为高危(High)。昨天ADLab公布了其中严重(Critical)漏洞的相关细节。这四个漏洞的影响范...

WannaCry 勒索软件是2017年最热门的勒索软件，它利用微软漏洞在全球范围内发起的攻击令世界上100多个国家的成千上万的用户深受影响。俨然一场全球范围内的网络安全普及教育。作为一名安全行业工作者，我对WannaCry进行了...

一、导语继2017年5月12号肆虐全球的WannaCry勒索病毒攻击后，安全专家向正在使用Windows XP和Windows Server 2003的用户发出了安全警告，提防利用名为“Esteemaudit”的黑客工具进行的第二波网络攻击。“Esteemaudit”黑...

PayPal的bug允许通过逐一列举的方式获取付款方式的最后四位数字以及披露任何给定PayPal账户的账户余额和近期交易数据。介绍这篇文章详细介绍了一个问题，它允许列举付款方式的最后四位数字（例如...