Usb Key的安全漏洞

1、只要数字证书和私钥存放在电脑介质中,或者可能被读入内存,那么都是不安全的。例如银行的硬盘版数字证书就是不安全的。因为其私钥和数字证书都有被木马程序盗用的可能。 2、USB Key的安全性在于私钥不能被导出,加密解密运算用Key内的CPU完成,需要PI...

Struts2 历史版本的远程代码执行

一、S2-003 受影响版本:低于Struts 2.0.12 struts2会将http的每个参数名解析为ongl语句执行(可理解为java代码)。ongl表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制。 ...

OpenSSL CVE-2016-0800 和 CVE-2016-0703 漏洞修复细节拾趣

1. 引子 本来最近和360 Nirvan Team的DQ430愉快的参加某加密厂商的年度大会,结果openssl也出来碰热闹,也许真是为了DH兄弟送大礼,苦了我们这些安全运维的。 感谢Shawn的指点! hf! 2. 细节 360在内部信息安全实践历程中,“360信息安全部”逐步秉承最佳安全...

Jenkins之Java反序列化漏洞分析(CVE-2016-0792)

Jenkins近日修复了一个可通过低权限用户调用API服务致使的命令执行漏洞:低权限用户通过构造一个恶意的XML文档并发送至服务端接口,使服务端解析时调用API执行外部命令。 XStream是一个流行的反序列化库,许多主流应用程序,如IRA、Confluence、Bamboo,和...

OpenSSL又暴新漏洞,超过1100万https站点受影响

据了解,最近有研究人员在OpenSSL中发现了一个新的安全漏洞,这个漏洞将会对SSL(安全套接层)安全协议产生巨大的影响,而且攻击者还有可能利于这个漏洞来对现代的Web网络站点进行攻击。 影响超过1100万网站 我们将利用这一漏洞来进行攻击的行为称为“DROW...

Weblogic密码破解

一、首先下载weblogic,并安装 下载链接(官方下载—->下载不了注册用户) Oracle官网下载 安装webloic   (下一步下一步就可以) 注:我安装的是weblogic12c  对应的jdk版本是”1.7.0_13″  (12c建议java版本1.7的)   二、 破...

数据库的安全威胁与漏洞分析

传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术构成综合的信息安全应对策略,但这些方案在现实中变得弱不禁风,大量信息泄露事件频繁爆发,数据库在近期泄露事件中成为了主角。   这与我们在传统...

黑客常用的密码破解方法

1、暴力穷举 密码破解技术中最基本的就是暴力破解,也叫密码穷举。如果黑客事先知道了账户号码,如邮件帐号、QQ用户帐号、网上银行账号等,而用户的密码又设置的十分简单,比如用简单的数字组合,黑客使用暴力破解工具很快就可以破解出密码来。因此用户要...

安卓无限重启漏洞

CVE编号:cve-2015-3823 安卓漏洞名称:无限重启漏洞 影响的安卓系统版本:Android版本4.0.1   该漏洞可以导致Android手机系统重启,让用户无法使用手机。 我们可以在该程序中插入无限执行命令,可以使安卓手机无限重启,直到电池耗尽。   相...

简单手工查杀

1.查杀项 进程启动项服务 驱动 注册表 其他项目(如:文件关联,Winsock ) 2.恶意程序,“最喜欢呆的地方” 供大家在平日进行手工检测的时候进行排查: C:\ C:\WINDOWS C:\WINDOWS\system C:\WINDOWS\system32 C:\Windows\System32\drivers C:\WINDOWS\...

Top