国泰航空数据泄露,940万乘客受影响

国泰航空公司于昨夜发布“信息安全事件”通告,表示一个包含多达940万乘客数据的系统遭到网络攻击。 根据国泰航空的说法,他们于今年3月在系统中发现可疑活动后立即与网络安全公司合作进行调查,确定攻击者如何获得系统访问权限以及如何修复漏洞。调查...

安全研究 | 传真机的攻击面研究报告

介绍 大家一听到“传真机”这三个字,肯定觉得这种设备离自己非常远。但实际上,现在很多办公室里仍然存在着这种“远古”设备,而且在商业和法律通信等领域内仍处于广泛使用中。传真机的大部分技术都是几十年前的了,而且在过去的几年里基本没有升级过。 ...

看我如何在Weblogic里捡一个XXE(CVE-2018-3246)

*本文作者:黑客小平哥,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 前言 前几天空间被CVE-2018-2894刷屏,大家也都在研究和复现这个漏洞,正好我们安全团队也在玩这个漏洞,那大家就一起来玩咯。 本次的重点是复现,上传w...

Twitter再现Windows 0 day漏洞

事件概述 2018年8月,安全研究人员SandboxEscaper在Twitter上公布了Windows 0 day漏洞。 时隔2个月,他再次在Twitter上公布了另一个Windows 0 day漏洞,同时在GitHub上公布了P...

公有云内网威胁检测系统

0x00、公有云内网威胁现状 1.传统公有云内网防御手段 在公有云上针对于内网防护有自己的一套逻辑,VPC虚拟专用网络+ACL+安全组,可以很好的防止黑客的入侵。但是这些规则都是预设规则,没有一个灵活的安全大脑去控制。针对于高级黑客入...

寻找活动目录中使用可逆加密存储密码的账户

密码安全问题一直都受到个人和企业的关注。对于个人而言,或许仅仅只是个人隐私的被公开,而对于企业而言则可能会是灾难性的。为了避免出现这种情况,越来越多的企业都开始使用一些不可逆,且强度高的加密算法来加密其账户密码。但一些安全意识薄弱的企业或...

【爱盘】3.0 在线破解工具包正式发布!

【爱盘】3.0 在线破解工具包正式发布! https://down.52pojie.cn 介绍 经过两个月的测试完善,由吾爱破解大神@Ganlv独立开发的”爱盘“3.0终于和大家见面了。作为众多安全、逆向爱好者必备的大杀器,爱盘诞生至今已经...

Safari浏览器bug可引发XSS

研究人员发现一个Safari浏览器的bug,利用该bug可以绕过浏览器的过滤器,并进行XSS。之前也有研究人员发现过该漏洞,因此漏洞并不是第一次出现。 先看一个研究人员偶然发现脚本文件: <script type=̶...

C\/C++中未对齐访问导致的问题和解决方法

众所周知,当指针值是对齐值的倍数时,用于执行内存访问时使用的CPU性能更好。这种现象仍然存在于当前的CPU中,并且仍有一些仅具有执行对齐访问的指令。考虑到这个问题,C标准已经有了相应的对齐规则,所以编译器可以利用它们来尽可能的生成有效代...

又是一年1024,今天不加班,加鸡腿!

“年轻的程序员哟,你做的工作,是996,还是247呢?” 转眼间又到了一年一度的1024,广大程序员朋友们的日子。作为国内最大的互联网安全媒体,FreeBuf在这里祝各位Buffer节日快乐。 说到这个节日,在我脑海中冒出的第一件事就是:...