所有文章

第 2 頁,共 7 頁
技術專欄 #Advisory #CVE #RCE #Facebook #BugBounty

看我如何再一次駭進 Facebook,一個在 MobileIron MDM 上的遠端程式碼執行漏洞!

orange

2020-09-12

嗨! 好久不見,這是我在今年年初的研究,講述如何尋找一款知名行動裝置管理產品的漏洞,並繞過層層保護取得遠端程式碼執行的故事! 其中的漏洞經回報後在六月由官方釋出修補程式並緊急通知他們的客戶,而我們也在修補程式釋出 15 天後發現 Facebook 並未及時更新,因此透過漏洞取得伺服器權限並回報給 Facebook!

科普文章 #Strategy #Ransomware

敵人不是勒贖軟體,而是組織型駭客

aaron

2020-08-21

駭客攻擊事件一直存在於真實世界,只是鮮少被完整公開揭露。今年國內一些重大關鍵基礎設施 (Critical Information Infrastructure Protection,CIIP) 以及國內的跨國企業紛紛發生嚴重的資安事件,我們想簡單的跟大家談談這些事件背後企業真正需要思考及重視的核心問題。

技術專欄 #DEVCORE CONF #Deserialize

玩轉 ASP.NET VIEWSTATE 反序列化攻擊、建立無檔案後門

cyku

2020-03-11

最近微軟產品 Exchange Server 爆出一個嚴重漏洞 CVE-2020-0688,問題發生的原因是每台 Exchange Server 安裝完後在某個 Component 中都使用了同一把固定的 Machine Key,可以竄改 ASP.NET Form 中的 VIEWSTATE 參數值以進行反序列化攻擊。今天主要想聊聊的是關於 VIEWSTATE exploit 在滲透測試中如何進行利用。

科普文章 #Defense #VPN

遠距工作的資安注意事項

allenown

2020-03-04

近期因新型冠狀病毒影響,不少企業開放同仁遠距工作 (Telework)、在家上班 (Work from home, WFH)。如果沒有準備周全就貿然全面開放,恐怕會遭遇尚未考慮到的資安議題。這篇文章提供一個簡單的指引,到底遠端在家上班有哪些注意事項?