云麦智能秤app账户接管漏洞,mass account takeover yunmai,绕过每个主账户 16 个家庭成员的限制,用户 ID 枚举,无效的授权检查,信息泄露,通过“密码重置”功能接管帐户.在一个内部物联网研究项目中,我们对云麦智能秤的安卓和iOS应用进行了渗透测试
Read more
分类: 黑客技术
大规模NDSW/NDSX恶意软件活动分析
大规模NDSW/NDSX恶意软件活动分析,该恶意软件由几层组成:第一层突出显示JavaScript 注入中的ndsw变量,第二层利用有效负载中的ndsx变量。我们的研究结果表明,攻击者会定期更改其 JavaScript 注入的混淆,同时保持这种可识别的 ndsw/ndsx模式
Read more
俄罗斯社交网站VK(Mail.Ru Group) RCE漏洞
俄罗斯社交网站VK(Mail.Ru Group) RCE漏洞,from open redirect to rce in one week,在这篇文章中,我将告诉你我是如何在Mail.Ru Group(或现在的VK)的多个主机上链接多个安全问题以实现 RCE 的故事
Read more
Java中的任意文件上传绕过waf文件名检测技巧
Java中的任意文件上传绕过waf文件名检测技巧,Arbitrary File Upload Tricks In Java,如何在上传任意文件时绕过文件名检测,使用getOriginalFilename方法获取文件名
Read more
XLoader僵尸网络利用概率论大数定律隐藏C&C服务器
XLoader僵尸网络利用概率论大数定律隐藏C&C服务器,该示例具有较长的仿真时间,可以访问超过 16 个域,我们发现恶意软件使用的 90,000 个域中不到 100 个 C&C 服务器,根据访问域之间的延迟,即使 9 分钟也足以欺骗模拟器并防止检测到真正的 C&C 服务器
Read more