Profile cover photo
Profile photo
DEVCORE 戴夫寇爾
56 followers
56 followers
About
Posts

Post has attachment
前陣子,我們再一次找到了 Exim 全版本毋需認證 RCE。這次發生問題的地方在於基礎設施 base64 解碼函式,讓我們來看看因為一個數學小算式沒有算好造成的嚴重問題吧!

此外,也提醒使用 Exim 的用戶,儘速升級至 4.90.1 版以免遭受攻擊。
Add a comment...

Post has attachment
這是一次印象深刻的案子,找到了 web app 的漏洞拿了 shell 卻什麼都做不了,只好繼續研究 Sandstorm 平台弱點...
最後我們找到的幾個問題也滿有趣的,分享給大家~
Add a comment...

Post has attachment
2017 第一個上班日,來看看這個因為「預設」造成的 RCE 問題吧!
Add a comment...

Post has attachment
Dyn DDoS 攻擊是近年來規模最大的一次事件,也代表著 IoT 殭屍網路的潛在巨大威脅。Mirai Botnet 絕不是個結束,而是黑色產業浮出水面的開端。

如果你還不知道 IoT 設備是近年來駭客最熱門的目標,那麼你應該要開始在意了,那些可以遠端遙控的冰箱冷氣等,也許有一天會對你或是全世界造成危害...
Add a comment...

Post has attachment
之前《滲透 Facebook 的思路與發現》一文中的技術細節,其中包含了三個 XSS、兩個 RCE 以及兩個提權弱點,分別是 CVE-2016-2350、CVE-2016-2351、CVE-2016-2352、CVE-2016-2353。
Add a comment...

Post has attachment
最近又見到好幾波個資外洩事件,不僅是民眾、甚至是企業都很困惑個資是怎麼外洩的。電商業者的運作相當複雜,個資的使用、存放都需要盤點清楚才能確保安全性。知道風險、我們就能夠應對威脅。這篇我們來談談電商網站常見的資安困境,也歡迎大家一起來分享經驗!
Add a comment...

Post has attachment
在真實世界中,駭客為了入侵目標會用盡各種方法嘗試走每一條路,直到達成目的為止。如果今天目標是 Facebook,你會做什麼樣的嘗試?讓我們來看看 Orange 為我們帶來的思維演示 :)
Add a comment...

Post has attachment
感謝這些年來業界朋友對我們的肯定與支持,戴夫寇爾得以茁壯,如今,我們還需要一位行政出納人才,我們渴望您的加入,做為戴夫寇爾穩定的力量。若您有意願加入我們,歡迎您參閱我們部落格上的詳細介紹來信。
Add a comment...

Post has attachment
「OWASP 是說,如果你的樣板路徑是動態產生的,而且使用者可以控制那個樣板路徑,那麼使用者就可以讀取到任意樣板,包含管理介面的樣板。這樣的描述感覺還好,但就我們的發現,這其實是更嚴重的直接存取物件問題(Insecure Direct Object References),甚至有機會造成遠端命令執行(Remote Code Execution),怎麼說呢?我們直接看下去。」
Add a comment...

Post has attachment
廣為 Android 開發者所使用的 WebView,在你打開了 JavaScript 功能的時候,背後一些由於系統漏洞而引發出來意想不到的風險卻有機會由此而生你知道嗎?我們在下面的文章為大家對這些風險漏洞做個整理。
Add a comment...
Wait while more posts are being loaded