2016-10-30 66
Uber前不久终于开放了它的漏洞奖励计划,并鼓励白帽子门展开对Uber在线服务的漏洞挖掘。请随着FreeBuf小编一起,来看看这几个逻辑漏洞形成的“组合拳”。
信息收集
首先我们先查看了Uber公司授权检测的目标。可以发…...
2016-10-30 55
ConnectedDrives是宝马车载信息娱乐系统,该系统可以通过移动APP来管理车辆。除了APP外,该系统还提供了配套的Web应用。
Vulnerability实验室的安全研究员BenjaminKunz Mejri在向宝马官方提交漏洞五个月后(官方…...
2016-10-30 79
前言
学校有个比较知名的公众号,用了两年感觉还是非常不错的,查成绩查公交查图书啥都有。
一个偶然的机会得到了公众号接口的权限,发现很多「有趣的事」,据说还可以黑产。目前该漏洞已经提交给微信号开发方完成…...
2016-10-30 87
*本文原创作者:cdxy,本文属FreeBuf原创奖励计划,未经许可禁止转载
本文整理了OAuth 2.0的攻击面+实际案例+辅助测试代码。
OAuth流程
本文以两种广泛使用的方案为标准展开.。如对流程不了解,请先移步学习: 理解…...
2016-10-30 50
作为最近的一项研究,我们首先发现了两个钓鱼攻击域名,而在这两个域名之后是更多的域名,这些域名已经成功地攻击了超过1000多名用户,这项钓鱼攻击主要针对的是AOL、雅虎、LinkedIn等网站的用户。
1、钓…...
2016-10-30 186
0×00 概述
“IPS Community Suite”是一款国外比较常见的 CMS。但在其4.1.12.3版本及以下版本,存在PHP代码注入漏洞,该漏洞源于程序未能充分过滤 content_class 请求参数。
远程攻击者可利用该漏…...
2016-10-30 93
在过去的两年里,利用被黑的电商网站对客户的信用卡信息进行钓鱼,这种手法已经非常盛行了。
历史案例
此前我们曾报告过多起案例,黑客在付款页面和支付模块加上了恶意代码,以此来窃取客户的支付信息。客户本身…...
2016-10-30 206
Recorded Future公司发布的一篇报告称,两名中国安全研究人员开发的一种新型的Webshell管理工具Cknife,在GitHub开放源代码中供所有人使用,包括黑客。
关于Cknife
该新型Webshell工具,名为“Cknife”,2015年12…...
2016-10-30 62
*本文原创作者:Sunnieli,本文属FreeBuf原创奖励计划,未经许可禁止转载
在Black Hat 2016大会上,两名比利时的安全研究人员展示了他们今年的研究成果。他们发现了一个WEB攻击方式可以绕过HTTPS加密得到明文信息。…...
2016-10-30 112
通常情况下,网络犯罪分子在通过技术支持服务来进行诈骗活动时,需要使用到一些钓鱼网站,并在钓鱼页面中包含一些伪造的警告信息。诈骗分子需要通过这些警告信息来欺骗用户,让他们立刻去访问链接中的技术支持中…...