本文作者:ice 0X00前言 昨天看到blueborne的漏洞,顺手给我的nexus6装了一个app,测试了一下,一脸懵逼,怎么修复啊,然后我联想了一下, 还有哪些协议和传输是我们身边的威胁了,于是我去查资料了,便有了这篇文章. 0X01其他的东东 首先我想到的是 rfid(nfc),airdrop,zigbee,dect,红外线 NFC 这个技术由非接触式射频识别(RFID)演变而来,由飞利浦半导体(现恩智浦半导体公司).诺基亚和索尼共同研制开发,其基础是RFID及互连技术.近场通信(Nea…

版本2.1.1是一个错误修复版本.它包括对KRACK和BlueBorne漏洞的修复. 版本2.1.1的文档可在http://esp-idf.readthedocs.io/en/v2.1.1/上找到. 这是自2.1版以来的更改列表. 构建系统和工具 在Windows上为“git submodule”杂散输出错误添加解决方法 引导程序 针对80MHz闪光频率优化引脚配置 当使用80MHz闪光频率时提高核心电压 添加选项以将VDDSDIO稳压器电压提升至1.9V(默认启用) FreeRTOS的 修复从…

0.SRCs|安全应急响应中心 - 0xsafe 1.腾讯安全应急响应中心(TSRC) 2.360安全应急响应中心 3.京东安全应急响应中心(JSRC) 4.平安集团安全应急响应中心(PSRC) 5.好未来安全应急响应中心 6.百度安全应急响应中心 7.菜鸟安全应急响应中心 8.焦点安全应急响应中心(FSRC) 9.阿里安全响应中心(ASRC) 10.美丽联合集团安全应急响应中心(MLSRC) 11.陌陌安全应急响应中心 12.搜狗安全应急响应中心 13.携程安全应急响应中心 14.爱奇艺安全应…

在2014年,Jann Horn发现一个安卓的提权漏洞,该漏洞允许恶意应用从普通应用权限提权到system用户执行命令,漏洞信息与POC见(1].漏洞的成因源于在安卓系统(<5.0)中,java.io.ObjectInputStream并未校验输入的java对象是否是实际可序列化的.攻击者因此可以构建一个不可序列化的java对象实例,恶意构建其成员变量,当该对象实例被ObjectInputStream反序列化时,将发生类型混淆,对象的Field被视为由本地代码处理的指针,使攻击者获得控制权.这就…

0x00 索引说明 在OWASP的分享,关于业务安全的漏洞检测模型. 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解. 简单的验证码爆破.URL: http://zone.wooyun.org/content/20839 一些工具及脚本 Burpsuite htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan hydra 源…

==Ph4nt0m Security Team==                        Issue 0x03, Phile #0x05 of 0x07 |=---------------------------------------------------------------------------=||=---------------=[ 利用窗口引用漏洞和XSS漏洞实现浏览器劫持 ]=---------------=||=---------------------------…

前阵子“心脏出血”刚发生的时候读了下源代码,给出了自己觉得比较清楚的理解.   -------------------------穿越时空的分割线---------------------------   参考:http://drops.wooyun.org/papers/1381   这个问题出现在openSSL处理TLS心跳的过程中,TLS心跳的流程是:A向B发送请求包,B收到包后读取这个包的内容(data),并返回一个包含有请求包内容的响应包.请求包的内容(data)中包含有包的类型(ty…

例1, discuz!后台弱口令/暴力破解 1.http://club.lenovo.com.cn/admin.php…

在没有查到杀手之前我是先把带宽&端口用iptables 做了限制这样能保证我能远程操作服务器才能查找原因 2 在各种netstat –ntlp  的查看下没有任何异常 在top 下查到了有异常进程还有些异常的这里就截图一个 3 结果果断把进程给kill -9  了  没想到再去ps的时候又来了意思就是会自动启动它 这就让我想到了crond 这个自动任务果不其然 /var/spool/cron/root 这个文件被人做了手脚而且是二进制的声音干脆果断又给删除了,   以为这下没事了结果过了两分钟这…

Linux上redis安装: 需先在服务器上安装yum(虚拟机可使用挂载的方式安装) 安装配置所需要的环境运行指令:  yum -y install gcc 进入解压文件执行make 指令进行编译 执行指令make PREFIX=/usr/local/redis  install指定安装位置进行安装 将解压目录下的redis.conf拷贝一份到安装路径的bin目录根目录下(redis.conf可修改端口号密码等),编译redis.conf把里面的daemonize no改成daemonize y…