如何解码Protobuf数据并进行反序列化漏洞测试,实际上在 HTTP 拦截期间,数据显示为 base64 编码,但在解码响应后,我们注意到数据是二进制格式,Protobuf 对人不友好,因为数据以二进制格式序列化,有时还以 base64 编码
Read more
分类: 黑客技术
CVE-2021-36260 poc|海康威视命令注入漏洞
CVE-2021-36260 poc|海康威视命令注入漏洞,海康威视部分产品中的web模块存在一个命令注入漏洞,由于对输入参数校验不充分,攻击者可以发送带有恶意命令的报文到受影响设备,成功利用此漏洞可以导致命令执行。海康威视已发布版本修复该漏洞。
Read more
勒索软件解密情报|Ransomware Decryption Intelligence
勒索软件解密情报|Ransomware Decryption Intelligence,通过对勒索软件变体使用的加密实现进行逆向工程,研究人员可以利用密码缺陷来解密勒索软件,勒索软件团伙破产或退休并决定为所有受害者免费发布解密密钥
Read more
Android安全清单之WebView漏洞
Android安全清单之WebView漏洞,WebView 是一个可以内置到应用程序中的网络浏览器,代表了 Android 生态系统中使用最广泛的组件;它也受到最大数量的潜在错误的影响。如果存在漏洞,可以加载任意 URL 或执行攻击者控制的 JavaScript 代码
Read more
新的Shrootless漏洞可让攻击者在macOS系统上安装Rootkit
新的Shrootless漏洞可让攻击者在macOS系统上安装Rootkit,攻击者可以利用该漏洞绕过macOS 中的系统完整性保护SIP并在设备上执行任意操作,它可以让攻击者提升他们的权限以对受影响的设备进行 root,CVE-2021-30892
Read more