openssl 又摊上大事了,2014年6月5日,SSL/TLS Man-in-the-Middle Vulnerability 该漏洞使得攻击者能够拦截恶意中间节点加密和解密数据.同一时候强迫使用弱密钥的sslclient暴露在恶意节点中.当软件使用OpenSSL的受影响版本号.通过网页浏览.电子邮件和VPN进行内容和身份验证等加密通讯时会有篡改的风险. 这里介绍openssl的升级方法,当前不受影响的最新版本号为OpenSSL 1.0.1h, wget http://www.openssl.…

OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/ 受影响的版本包括: OpenSSL 1.0.1 through 1.0.1g OpenSSL 1.0.0 through 1.0.0l all versions before OpenSSL 0.9.8y 未影响版本: OpenSSL 1.0.1h OpenSSL 1.0.0m OpenSSL 0.9.8za 相关漏洞详情: http://…

事情发生在5月中旬,ATN技术人员发现Token合约由于存在漏洞受到攻击.不过ATN基金会随后透露,将销毁1100万个ATN,并恢复ATN总量,同时将在主链上线映射时对黑客地址内的资产予以剔除,确保原固定总量不变. 以下是事件还原. 事件回顾 2018年5月11日中午,ATN技术人员收到异常监控报告,显示ATN Token供应量出现异常,迅速介入后发现Token合约由于存在漏洞受到攻击.以下是黑客的攻击操作以及利用合约漏洞的全过程. 攻击 这次攻击主要分为4步.首先,黑客利用ERC223方法漏洞…

冤冤相报何时了,得饶人处且饶人.本文已被 https://www.yourbatman.cn 收录,里面一并有Spring技术栈.MyBatis.JVM.中间件等小而美的专栏供以免费学习.关注公众号[BAT的乌托邦]逐个击破,深入掌握,拒绝浅尝辄止. 目录 ✍前言 ✍正文 关于本次漏洞 漏洞详情 漏洞评级 影响版本 安全版本 故事时间轴 修复建议 ✍总结 推荐阅读: ✍前言 你好,我是YourBatman. 今天中午收到我司安全部发了一封邮件:Jackson存在安全漏洞.查了一下,这件事并不算很…

太戏剧了,昨晚看了佳片有约,还不错,2012版的<完美回顾>,像我这样的人依旧选择用电视或者去影院看电影,在没有中间插播广告的时候,体验憋尿得过程中,总是能突然有非常多的想法,这是用电脑或者手机看电影所体会不到的.看完以后已经12点半了,突然想再看一遍<黑客帝国>,这下不用电脑不行了,因为电视上没得播...结果正在缓冲的时候,突然看到了旁边的小公告:"OpenSSL再爆严重安全漏洞--CCS注入",完了,电影看不成了,不是说不想看了,突然感觉自己比神还无耻,怎么…

和往常一样,每个人团队开发者都在自己的本地分支上进行日常工作,相互独立又相互联系,一直以来相安无事,可是某天下午,上级领导突然急冲冲的打电话告诉你线上出bug了,需要你紧急修复,下班之前必须解决! 我们天生就是创造 bug 的特殊群体,每天都在和各种各样的 bug 打交道,早已经习惯了这样的工作节奏,再也没有当初刚刚遇到紧急问题的手足无措,先喝杯茶,冷静一下,然后汇报领导说:放心吧!保证30min 内解决问题! 背景 学习了分支操作的相关知识,团队内部就基本的开发流程达成一致: 假设线上是主干…

Web渗透测试漏洞手册及修复建议 0x0 配置管理 0x01 HTTP方法测试 漏洞介绍: 目标服务器启用了不安全的传输方法,如PUT.DELETE等,这些方法表示可能在服务器上使用了 WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传.修改.删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件. 修复建议: 1.关闭不安全的传输方法,只开启POST.GET方法. 2.如果服务器不使用 WebDAV 可直接禁用,或为允许webdav…

影响超 10 亿设备,博通和 Cypress 芯片曝惊天漏洞,苹果.华为.三星等中招   https://www.infoq.cn/article/lpNEQGrxZL22gHDPBE2z   26 日,在旧金山举办的RSA 大会 2020上,ESET 的网络安全研究人员披露了一个最新的 WiFi 芯片漏洞.这个漏洞被称为 Kr00k,属于高严重级别的安全漏洞,影响博通和 Cyprss 制造的 WiFi 芯片. 哪些产品受影响? ESET 称,Kr00k 漏洞此前从未发现,它对企业 IT 部门可…

    常规WEB渗透测试漏洞描述及修复 --转自:http://www.51testing.com/html/92/n-3723692.html (1). Apache样例文件泄漏 漏洞描述 apache一些样例文件没有删除,可能存在cookie.session伪造,进行后台登录操作 修复建议 1.删除样例文件 2.对apache中web.xml进行相关设置 (2)弱口令 漏洞描述 由于系统中存在有弱口令,导致攻击者通过弱口令可轻松登录系统中,从而进行下一步的攻击,如上传webshell,获取…

Cisco IOS/IOS XE 新漏洞检测与修复 CVE-2018-0150 Cisco IOS XE 存在默认弱口令 漏洞影响: 默认弱口令可以导致攻击者直远程登录控制Cisco设备.受影响版本,Cisco IOS XE 16.x 修复方案: router# no username cisco switcher# no username cisco 或者删除cisco账户也可以 CVE-2018-0151 Cisco IOS/IOS XE QoS存在漏洞 漏洞影响: UDP端口18999开启…