#

【漏洞预警】ThinkPHP 5多版本远程代码执行漏洞预警

12月9日,ThinkPHP官方团队发布了最新版本的安全修复公告,该版本修复了一处远程代码执行漏洞,该漏洞由于ThinkPHP框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下执行任意代码,最终服务器会被GetShell,该漏洞影响ThinkPHP 5.0、ThinkPHP 5.1多个版本。该漏洞利用难度小,但是危害性很大。

发布于:2018-12-12 阅读全文>>

最新安全事件

#

美国国家安全局(NSA)资料再遭泄露

据最新报道美国国家安全局(NSA)承包商雇员Thomas martin因窃取国家机密而遭到逮捕。

  • 来源:深信服安全中心
  • 发布时间:2016-10-18
#

全球近80万FTP服务器账号可被未授权访问

安全研究人员Minxomat尝试对全球所有的IPv4地址进行一个FTP枚举测试。经过测试发现,有796578个FTP登陆口令枚举成功,可以进行未经授权访问。在测试的过程中该研究人员主要是尝试针对21号端口进行匿名访问,密码为空。如果要通过字典枚举账号和密码,那么这个数量会下降很多。

  • 来源:深信服安全中心
  • 发布时间:2016-09-26
#

漏洞预警:MySQL代码执行0day漏洞可本地提权

来自波兰的安全研究人员Dawid Golunski刚刚发现了两个MySQL的0-day漏洞,影响到所有版本分支、默认配置的MySQL服务器(5.7、5.6和5.5),包括最新版本。攻击者可以远程和本地利用漏洞。攻击者成功利用漏洞后,可以ROOT权限执行代码,完全控制MySQL数据库。攻击者仅需有FILE权限即可实现ROOT提权,进而控制服务器。

  • 来源:深信服安全中心
  • 发布时间:2016-09-14
#

谷歌Chrome56正式将HTTP页面标记“不安全”

​9月8日谷歌宣布,从2017年1月(Chrome56)开始,正式将某些HTTP页面标记“不安全”,比如含密码或信用卡信息传输的HTTP页面,而未来的长期计划是将所有HTTP页面都标为不安全,目的是让用户更加安全的浏览站点。

  • 来源:深信服安全中心
  • 发布时间:2016-09-09
#

Zabbix 曝 SQL 注入漏洞

2016年8月12日,1n3通过邮件披露了Zabbix软件的jsrpc.php文件在处理profileIdx2参数时存在insert方式的SQL注入漏洞,与官方通告的latest.php文件在处理toggle_ids参数时存在insert方式的SQL注入漏洞属于同一类型的漏洞,只是攻击的位置不同。

  • 来源:深信服安全中心
  • 发布时间:2016-08-25