WordPress博客文章创建过程中存在一个逻辑缺陷,攻击者可以访问只有管理员能够访问的功能,这将导致WordPress core中存在存储型XSS(Stored XSS)和对象注入(Object Injection),也导致WordPress最受欢迎的插件Contact Form 7和Jetpack中存在更为严重的漏洞。
新型网络钓鱼活动事件分析
事件简介 在我们对威胁进行日常搜索中,我们收到了一条报道,其主要内容为针对土耳其国家的网络钓鱼事…
ThinkPHP v5 新漏洞攻击案例首曝光,阿里云已可告警并拦截
2018年12月10日,ThinkPHP v5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。阿里云态势感…
利用域名碰撞实现从任何地方发起中间人攻击
利用域名碰撞实现从任何地方发起中间人攻击
高级JavaScript注入技术
简单的JavaScript注入技术,如’-alert(1)-‘甚至’-alert(1)//,只要脚本块内触发输入反射(input reflection),通常无需借助HTML注入攻击,就能引发易受攻击页面弹出警报框。 但是在某些情况下,注入点可能会位于更加复杂的JS代码的中间,即在函数和条件语句内部(if或if+else),并且,它们还经常会嵌套在一起。