GitLab 修补 CE 和 EE 版本中的关键 SAML 身份验证绕过漏洞
GitLab 已发布补丁来解决影响社区版 (CE) 和企业版 (EE) 的一个严重缺陷,该缺陷可能会导致身份验证绕过。该漏洞根源于 ruby-saml 库(CVE-2024-45409,CVSS 评分:10.0),攻击者可利用该漏洞以任意用户身份登录系统。维护人员已于上周解决了该问题。该问题是由于库未正确验证 SAML 响应的签名而导致的。SAML 是安全断 ...
致数千人伤亡的寻呼机为何能爆炸?专家:或黑客入侵致电池过载,或内部被对手安装了爆炸物
当地时间17日下午,黎巴嫩看守政府召开部长会议期间,黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生寻呼机爆炸事件。黎巴嫩公共卫生部长阿卜亚德称,爆炸已造成9人死亡,约有2800人受伤,其中约200人伤情危重。报道称,首次爆炸发生在当地时间周二下午3点45分,随后大约上千个寻呼机被引爆,这波爆炸持续了大约一个小 ...
币安警告 Clipper 恶意软件攻击日益增多,旨在攻击加密货币用户
加密货币交易所币安警告称,一种“持续”的全球威胁正在利用剪辑恶意软件瞄准加密货币用户,目的是促进金融欺诈。Clipper 恶意软件(也称为ClipBankers)是微软称之为cryware的一种恶意软件,它具有监视受害者剪贴板活动和窃取用户复制的敏感数据的功能,包括将加密货币地址替换为攻击者控制的地址。这样一来,在受感染系统 ...
消息称全球 130 万台安卓机顶盒遭“后门木马”Android.Vo1d 感染,黑客可远程部署恶意软件
9 月 17 日消息,安全公司 Doctor Web 披露报告称他们发现全球超过 130 万台安卓电视机顶盒已被植入一款名为“Android.Vo1d”后门木马,黑客可利用这一后门木马部署各种恶意软件。 获悉,Doctor Web 研究人员在今年 8 月首次注意到这一后门木马,其主要影响运行 AOSP 的电视盒,不过研究人员尚未明确相关机顶盒如何遭到 ...
Google Chrome 改用 ML-KEM 实现后量子密码防御
谷歌宣布将在其 Chrome 网络浏览器中从 KYBER 切换到 ML-KEM,这是其持续努力抵御加密相关量子计算机 ( CRQC ) 带来的风险的一部分。Chrome 团队的 David Adrian、David Benjamin、Bob Beck 和 Devon O\'Brien表示:“Chrome 将为混合 ML-KEM(代码点 0x11EC)提供密钥共享预测。PostQuantumKeyAgreementEnabled 标志和企业 ...
Google 修复了可能导致远程代码执行的 GCP Composer 缺陷
影响 Google Cloud Platform (GCP) Composer 的严重安全漏洞现已得到修补,攻击者可以利用该漏洞通过一种名为依赖混淆的供应链攻击技术在云服务器上实现远程代码执行。Tenable Research将这个漏洞的代号定为CloudImposer 。安全研究员 Liv Matan 在与 The Hacker News 分享的一份报告中表示:“该漏洞可能允许攻击者劫持 Go ...
投稿文章:从挖掘任意用户注册学习BurpSuite
在一次任意用户注册漏洞挖掘过程中,通过解决一个小问题使我学习了burpsuite新的技巧,遂记录之。**任意用户注册**通过抓包发现,某网站存在设计缺陷,将用户注册验证码或者密码找回的验证码下发到了客户端。如下图此时,拿到验证码正当我兴高采烈的去注册这个土豪手机号的时候,系统提示我验证码错误。根据我多年的挖洞(吹牛)经验我觉得问题出在我将服务器返回的验证码通过burpsuite拦截 ...
T00ls.Com版权所有。T00ls所有原创文章未经管理团队许可,禁止一切形式的转载。当前正在使用CDN加速。
Copyright © 2008 - 2024 T00ls All Rights Reserved.