JavaMelody 组件 XXE 漏洞解析

作者:EnsecTeam 公众号:EnsecTeam 0x00 概述 JavaMelody是一个用来对Java应用进行监控的组件。通过该组件,用户可以对内存、CPU、用户session甚至SQL请求等进行监控,并且该组件提供了一个可视化界面给用户使用。 最近,该组件被爆出一个XXE漏洞——CVE-2018-15531,由于该组件的启动特性,攻击者无需特定的权限即可发起攻击。 0x01 漏洞复...

XuanwuLab Security Daily News Push – 2018-09-20

腾讯玄武实验室安全动态推送

Tencent Xuanwu Lab Security Daily News

深入解析 CVE-2018-5002 漏洞利用技术

作者:jinquan of Qihoo 360 Core Security 作者博客:360 Technology Blog 前言 2018年6月1号,360高级威胁应对团队捕获到一个在野flash 0day。上周,国外分析团队Unit 42公布了关于该次行动的进一步细节。随后,卡巴斯基在twitter指出此次攻击背后的APT团伙是FruityArmor APT。 在这篇博客中,我们将披露该...

XuanwuLab Security Daily News Push – 2018-09-19

腾讯玄武实验室安全动态推送

Tencent Xuanwu Lab Security Daily News

XuanwuLab Security Daily News Push – 2018-09-18

腾讯玄武实验室安全动态推送

Tencent Xuanwu Lab Security Daily News

XuanwuLab Security Daily News Push – 2018-09-17

腾讯玄武实验室安全动态推送

Tencent Xuanwu Lab Security Daily News

XuanwuLab Security Daily News Push – 2018-09-16

腾讯玄武实验室安全动态推送

Tencent Xuanwu Lab Security Daily News

针对工控恶意代码 TRISIS 的技术分析

作者:安天 来源:《安天发布针对工控恶意代码TRISIS的技术分析》 1、概述 2017年8月,安天安全研究与应急处理中心(安天CERT)基于综合情报研判,将针对工业控制系统的恶意代码TRISIS(又名TRITON、HATMAN)列为需要重点分析关注的威胁,并将其命名为“海渊”。该恶意代码在中东某石油天然气厂的工业控制系统中被国外安全研究人员发现,根据各方信息判断,由于攻击者准备不充分,尚未...

XuanwuLab Security Daily News Push – 2018-09-15

腾讯玄武实验室安全动态推送

Tencent Xuanwu Lab Security Daily News