大家好，这篇文章我将描述一个通过滥用2FA（双因素验证）实现无密码登录的漏洞，涉及Google, Microsoft, Instagram, Cloudflare等国际公司。这是最初我在谷歌发现的一个逻辑漏洞，然后在其他顶级国际公司（如微软、Instagram、CloudFlare等）的网站上也进行了测试，确定它们也受到该漏洞影响。1）初始这一切都是从我脑海中某个想法开始的：2FA往往比其他登录验

译文声明本文是翻译文章，文章原作者protego，文章来源：protego.io                                原文地址：https://www.protego.io/a-deep-dive-into-ser

在2019年，数百万的计算机都运行着至少一个老旧的应用软件，或者其操作系统本身就没有及时更新，这使得它们很容易遭受已知和未知漏洞的网络攻击。安全公司Avast近期发布了2019年个人电脑趋势报告，其中显示数百万用户的个人电脑都保留着版本过时的流行软件，容易遭受到网络攻击。关于软件和操作系统的更新问题，大多数情况下，是由于用户的懒惰和公司的管理员的疏忽而导致，很多时候用户并不想因为更新而重新启动机器

Python著名开源包NumPy的默认用法存在严重漏洞库，一旦被攻击者利用，可在受害者的机器上远程执行代码。该漏洞于1月16日曝出，影响到NumPy版本1.10（2015年发布）到1.16（目前最新的版本，1月14日发布）。目前该依赖库的开发者正努力修复漏洞。NumPy是在实现科学计算中最流行的python库之一。同时也是通用数据的多维容器，可与多个数据库交互。函数默认值带来的危险问题主要出现在“

这是我往Bugcrowd上Pinterest（著名照片存储展示网站）漏洞悬赏项目所上报的一个漏洞。目前，Pinterest安全团队已经修复完成，并允许我发布漏洞详情。这是一个简单的CSRF漏洞，但可以修改任何用户的电子邮件ID和用户名，从而导致帐户被攻击者接管。此漏洞所造成的影响非常严重，因为Pinterest的每月活跃用户达2.5亿。注意：以下所有帐户均为测试帐户漏洞在哪？我在浏览“https:

10万正规网站居然给做假证、招嫖、代孕等非法广告“站台”，用自己的信用值提升非法广告的网络搜索排名？原来，这些网站的后台被人植入木马程序，仅仅多了“一句话”，就沦为不法分子的牟利工具。近日，江苏南通警方破获了这起非法控制计算机信息系统案件，打掉了一个网络违法广告黑色产业链。让人意想不到的是，开发这一木马程序的黑客只是一个24岁小伙，仅初中文化。“一句话”让正规网站给非法广告“站台”2018年2月初

1.原理该方法和其他UAC绕过方法一样，利用了某些会“自动提升权限”的程序。这些程序会以高完整性级别运行，且不会触发UAC窗口的警示窗口。用户以中等权限运行这些程序去加载DLL或执行命令，就可成功绕过UAC。而此次绕过的关键就在于可执行文件sdclt.exe。Sdclt在Windows系统中的原本作用是备份和还原。你可以使用Windows SysInternals的SigCheck检查它是否会自动

本文所说的大数据安全，是指大规模多租户数据仓库，DLP、应用安全之类的传统范围不在此内。你可以理解为类似阿里的ODPS，AMAZON的redshift之类，也可以理解为Hadoop的生态技术栈集合，或者粗暴一点理解为超大规模数据库的集合。在这堆数据库上面，有数据开发人员，数据分析人员，运营人员甚至各种业务人员，在从数据里试图洞察业务。为了更好的观测业务，由此又衍生了机器算法平台、实时计算、离线计算

北京时间1月24日早间消息，据美国科技媒体报道，因为服务器出现安全漏洞，美国多家大银行泄露2400多万份金融及银行资料，涉及大量贷款和抵押贷款信息。受影响的服务器上运行Elasticsearch数据库，里面包含了10多年的历史数据，比如贷款和抵押贷款协议、还款计划、敏感财务及税务文档。这些文件没有受到密码的保护，任何人都可以查阅。研究人员确定，数据库只被暴露了2周，1月15日又被保护起来。泄露似乎

原文地址：https://www.hackingarticles.in/bypass-application-whitelisting-using-msbuild-exe-multiple-methods/在本文中，我们将为大家介绍如何绕过最常见、也是大家最熟悉的应用程序白名单安全机制，即AppLocker。众所周知，出于安全原因，系统管理员会添加相应的组策略来限制本地用户的应用程序的运行。在上一