2016-10-30 66

Uber前不久终于开放了它的漏洞奖励计划，并鼓励白帽子门展开对Uber在线服务的漏洞挖掘。请随着FreeBuf小编一起，来看看这几个逻辑漏洞形成的“组合拳”。
信息收集
首先我们先查看了Uber公司授权检测的目标。可以发…...

2016-10-30 55

ConnectedDrives是宝马车载信息娱乐系统，该系统可以通过移动APP来管理车辆。除了APP外，该系统还提供了配套的Web应用。
Vulnerability实验室的安全研究员BenjaminKunz Mejri在向宝马官方提交漏洞五个月后（官方…...

2016-10-30 79

前言
学校有个比较知名的公众号，用了两年感觉还是非常不错的，查成绩查公交查图书啥都有。

一个偶然的机会得到了公众号接口的权限，发现很多「有趣的事」，据说还可以黑产。目前该漏洞已经提交给微信号开发方完成…...

2016-10-30 87

*本文原创作者：cdxy，本文属FreeBuf原创奖励计划，未经许可禁止转载
本文整理了OAuth 2.0的攻击面+实际案例+辅助测试代码。
OAuth流程
本文以两种广泛使用的方案为标准展开.。如对流程不了解,请先移步学习: 理解…...

2016-10-30 50

作为最近的一项研究，我们首先发现了两个钓鱼攻击域名，而在这两个域名之后是更多的域名，这些域名已经成功地攻击了超过1000多名用户,这项钓鱼攻击主要针对的是AOL、雅虎、LinkedIn等网站的用户。
1、钓…...

2016-10-30 186

0×00 概述

“IPS Community Suite”是一款国外比较常见的 CMS。但在其4.1.12.3版本及以下版本，存在PHP代码注入漏洞，该漏洞源于程序未能充分过滤 content_class 请求参数。
远程攻击者可利用该漏…...

2016-10-30 93

在过去的两年里，利用被黑的电商网站对客户的信用卡信息进行钓鱼，这种手法已经非常盛行了。
历史案例
此前我们曾报告过多起案例，黑客在付款页面和支付模块加上了恶意代码，以此来窃取客户的支付信息。客户本身…...

2016-10-30 206

Recorded Future公司发布的一篇报告称，两名中国安全研究人员开发的一种新型的Webshell管理工具Cknife，在GitHub开放源代码中供所有人使用，包括黑客。
关于Cknife
该新型Webshell工具，名为“Cknife”，2015年12…...

2016-10-30 62

*本文原创作者：Sunnieli，本文属FreeBuf原创奖励计划，未经许可禁止转载
在Black Hat 2016大会上，两名比利时的安全研究人员展示了他们今年的研究成果。他们发现了一个WEB攻击方式可以绕过HTTPS加密得到明文信息。…...

2016-10-30 112

通常情况下，网络犯罪分子在通过技术支持服务来进行诈骗活动时，需要使用到一些钓鱼网站，并在钓鱼页面中包含一些伪造的警告信息。诈骗分子需要通过这些警告信息来欺骗用户，让他们立刻去访问链接中的技术支持中…...