2022年04月11日
昨天下午14:21,一顶匿名的白帽子提交了一个聚美优品的任何密码来修改漏洞。通过这个漏洞,任何用户的密码都可以重置。仅仅两个小时后,聚美优品正式修复了这个漏洞,并披露了细节(强大的制造商,赞美)。让我们来看看这个漏洞。根据白帽子的描述,首先,我们应该给自己发一封电子邮件到密码。不要点击邮件中的链接然后将密码发送到要修改的账户邮箱。当然,我们看不到这封邮件。但当我们点击刚才收到的链接时,神奇的事情发生了,我们修改了后者的密码。根据小编的分析,每当我们发送密码检索邮件时,程序就会在那里COOKIE或
2022年04月11日
漏洞奖励是指近年来发现网络安全隐患的奖励机制。Oversecure的创始人Sergey Toshin当他在一家网络安全公司做兼职时,他的同事建议他进入这个领域。Toshi他说,当时的同事声称漏洞奖励每月可以增加5000美元的收入——所以他也试了试。一开始,他几乎一无所获。我95%的漏洞奖励报告都退了。他回忆道。从个人角度来看,Toshin也是因为在知名漏洞悬赏平台上HackerOne名气不好,信心受到打击。Toshin说:我觉得我的性格是那种。当我失败的时候,我会觉得我一事无成。但也许一两周后,
2022年04月11日
开发人员是网络犯罪分子的一个有吸引力的目标,因为他们可以访问公司的核心知识产权资产:源代码。入侵允许攻击者进行间谍活动或在公司产品中嵌入恶意代码。这甚至可以用来发动供应链攻击。现代软件开发和几乎所有编程语言生态系统的组成部分都是包管理器。它们有助于管理和下载第 3 方依赖项,因此开发人员必须确保这些依赖项不包含恶意代码,因为它们嵌入到他们构建的产品中。然而,管理依赖项通常不被视为具有潜在风险的操作,特别是在使用安全选项时。为了帮助保护开发者的生态系统,我们的研究人员开始研究开发者工具,这些工具可
2022年04月11日
昨晚,据报道,白帽路人a在乌云漏洞报告平台上提交了一个12306图片验证码漏洞,称这将导致绕过限制,理论上复活抢票软件。路人甲在漏洞描述中表示,这个漏洞属于设计缺陷/逻辑错误。新选择的图片验证码确实比以前四个字母的验证码更难,中文识别也更难。但目前发现12306年新图片选择验证码有可绕过的漏洞,应该是更新不全面造成的漏洞。细节已经通知厂家,等待厂家处理。12306该网站于3月16日在登录界面上推出了一种新的验证方法。用户填写登录名称和密码后,必须准确选择图片验证码才能成功登录。据说,验证码修改后