【安全通告】Microsoft Exchange 远程代码执行漏洞(CVE-2020-17144)
在微软最新发布的12月安全更新中公布了一个存在于 Microsoft Exchange Server 2010中的远程代码执行漏洞(CVE-2020-17144),官方定级 Important。
【威胁通告】开源压缩库Libarchive代码执行漏洞(CVE-2019-18408)
在某些ARCHIVE_FAILED 情况下, 3.4.0 版本前libarchive 的 archive_read_support_format_rar.c中存在UAF (释放后使用)漏洞。攻击者利用精心构造的压缩文件,当受影响用户使用Libarchive或者包含Libarchive的软件读取这些恶意压缩文件时,可能会被执行代码。
Django任意代码执行漏洞分析
从Django的SECTET_KEY到代码执行
Django是一个可以用于快速搭建高性能,优雅的网站的平台,由Python写成。采用了MVC的软件设计模式,即模型M,视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。并于2005年7月在BSD许可证下发布。
最近在进行网站代码审查的过程中,发现某些产品由于session使用不当,导致可能被攻击者利用,执行任意代码。这些产品在登录的JS代码中,泄露了SECRET_KEY,将该值作为密码加密的盐,这样就暴露了加密salt不太好吧,更重要的是对django的安全造成了极大的威胁。