【威胁通告】ElectronJs远程代码执行漏洞 (CVE-2018-1000006)

近日,使用自定义协议处理程序(custom protocol handlers)的Electron应用程序被发现存在一个远程执行代码漏洞。该漏洞源于应用程序在设计时,将自身注册为协议的默认处理程序(例如myapp://),无论协议是如何注册的,例如本机代码,Windows注册表或者Electron的app.setAsDefaultProtocolClient的API,都会受到影响。

阅读全文 “【威胁通告】ElectronJs远程代码执行漏洞 (CVE-2018-1000006)” »

2017年反序列化漏洞年度报告

在2017年绿盟科技NS-SRC 处理的漏洞应急中有很大一部分是反序列化漏洞,和以往漏洞形式不一样的是,2017年则多出了fastjson、Jackson等,还有关于XMLDecoder和XStream的应急,本报告重点回顾2017年绿盟科技重点应急,影响面非常广的那些反序列化漏洞。从这个报告中能看出反序列化漏洞的发展,攻击方和防御方不停的对抗过程,bypass和反bypass在这个过程中体现得淋漓尽致。

阅读全文 “2017年反序列化漏洞年度报告” »

【移动安全】闪付&零元购,你的支付安全么?

随着越来越多的无辜消费者陷入“闪付”、“0元购”、“抽奖”陷阱,我觉得无论如何强调和提醒大家注意支付安全都不为过。近年来,随着智能手机的不断普及,移动钱包的概念逐渐渗透到人们生活的方方面面,出门还带钱包?你就Out了,甚至有人在婚礼上用二维码收礼金,坐公交不必带公交卡,手机扫下就OK,滴滴打车用完车钱被直接划走>>>>>>

阅读全文 “【移动安全】闪付&零元购,你的支付安全么?” »