本文详细分析了Avira VPN 2.15.2.28160版本中存在的权限提升漏洞,攻击者可通过替换更新文件并利用DLL劫持技术,从低权限用户提升至SYSTEM权限,深入探讨了漏洞原理和利用方法。
本文详细介绍了如何通过结合Flash和未闭合的base标签来绕过Chrome的XSS Auditor防护机制,包括具体的技术向量和测试案例,并探讨了不同页面结构对绕过效果的影响。
本文详细披露了在Ahold Delhaize美国公司的ws1.aholdusa.com服务器上发现的严重远程代码执行漏洞。通过服务器端模板注入技术,攻击者无需认证即可执行任意代码,泄露敏感文件如/etc/passwd。漏洞可能自2005年存在,影响员工登录凭证安全长达多年。
Penta Security宣布将Cloudbric托管规则服务扩展至AWS WAF的两个新区域,该服务基于其专有WAAP解决方案核心技术,提供预设安全规则,帮助用户简化AWS WAF的安全管理。
本文详细介绍了针对Oracle VirtualBox的漏洞研究方法,包括代码审计技巧、模糊测试策略、堆喷射技术及信息泄露利用,为虚拟化安全研究提供了实用指南。
本文提出了一种针对联邦学习中稀疏模型更新场景的安全增强方案,通过逐元素掩码策略防止单个客户端数据泄露,同时保持与现有安全聚合协议的兼容性,实验证明其计算和通信开销在可接受范围内。
趋势科技研究发现Earth Lamia APT组织自2023年起针对巴西、印度和东南亚多行业目标,利用Web应用漏洞入侵,开发定制化工具PULSEPACK和BypassBoss,采用DLL侧加载和加密通信等技术规避检测。
本文分享了作者在全球最大黑客松中开发Healthcare Pro医疗平台时的技术协作经历,包括身份验证系统调试、原型反馈迭代过程,以及如何通过社区支持克服技术挑战与自我成长的故事。
安全研究员发现MetaMask浏览器扩展存在严重设计缺陷,用户界面无需密码确认即可访问助记词,破坏了UI与后台进程间的安全边界。该漏洞虽不能直接利用,但显著增加了钓鱼攻击风险,团队已奖励3500美元并发布11.7.1版本修复。
微软发布第二版安全更新指南,详细介绍了安全更新的测试流程、部署方法及企业适用性评估,包括应用兼容性测试、根工具检测和预发布部署等关键环节,帮助IT专业人员更高效地管理安全更新。