Advisories Cesanta Mongoose 6.16 - Integer overflow CyStack Advisory ID CSA-2019-04 CVE IDs CVE-2019-19307 Severity Critical CVSS v3 Base 9.8 SynopsisCyStack Security discovered an integer overflow vulnerability in the implementation of MQTT protocol in the Cesanta
Static binary injection with high-level code Giới thiệuStatic binary injection là một kỹ thuật dùng để chèn những đoạn code từ ngoài vào trong một file thực thi để theo dõi hoặc thay đổi hành vi
Advisories D-Link DNS-320 ShareCenter <= 2.05.B10 - Unauthenticated Remote code execution CyStack Advisory ID CSA-2019-03 CVE IDs CVE-2019-16057 Severity Critical CVSS v2 Base 10.0 Vendor's announcement Link SynopsisCyStack Security discovered a remote code execution vulnerability in the D-Link DNS-320 ShareCenter
Subdomain takeover - Chapter two: Azure Services As I described in the chapter one, we can control the content of a sub-domain d by controlling the content of domain d1 that d points to through its CNAME
Advisories Trape 2.0 SQLi and stored XSS CyStack Advisory ID CSA-2019-02 CVE IDs CVE-2019-13488, CVE-2019-13489 Severity Medium Trape is an OSINT analysis and research tool, which allows people to track and execute intelligent social engineering attacks in
vulnerability Arbitrary file read vulnerability in Hackerrank SummaryHackerRank is a technical hiring platform that helps businesses evaluate software developers based on skill. I found several its website can be attacked to read arbitrary files. DetailsMost websites of
Advisories Multiple XSS vulnerabilities in i-librarian 4.10 CyStack Advisory ID CSA-2019-01 CVE IDs CVE-2019-11359, CVE-2019-11428, CVE-2019-11449 Severity Medium Recently, we decided to find and get some CVEs assigned. When looking for a web project to audit, we
exploit Another attack vector of CVE-2019-6340 SummaryIn February 2019, Samuel Mortenson from Drupal security team discovered a critical vulnerability in this CMS, identified as CVE-2019-6340 or SA-CORE-2019-003. This vulnerability is a kind of object injection vulnerability
Further attack surface of Wordpress PHAR injection SummaryIn August 2018, Sam Thomas presented a new vulnerability of Wordpress at Black Hat USA 2018. The PHP object injection vulnerability is not new, but the way attacker can trigger
Word-based Malware Attack A while ago, a client informed us that they were likely being attacked. We came to assist and found out the key problem was this suspicious document. It’s written
Drupalgeddon2 (CVE-2018-7600) Drupal là một mã nguồn mở content management system (CMS) được sử dụng bởi hơn một triệu website trên toàn thế giới, bao gồm các trang web chính phủ, bán
Liferay và lỗi XSS LiferayLiferay là một cổng thông tin mã nguồn mở được sử dụng rộng rãi. Nó được thiết kế phù hợp với các mô hình ứng dụng trong cơ quan, tổ
Khai thác lỗi XSS trong Wordpress WordpressWordpress là 1 hệ quản trị nội dung (CMS) mã nguồn mở phổ biến nhất, được sử dụng bởi gần 75 triệu website trên toàn thế giới. Nó được dùng
WebLogic và CVE-2017-10271 WebLogic và deserializationOracle WebLogic Server là một java app server được tập đoàn Oracle phát triển và là một phần trong Oracle Fusion Middleware. Hỗ trợ các csdl Oracle, DB2,
Security Subdomain takeover - Chapter one: Methodology Subdomain takeover is a high severity vulnerability that can be exploited to take control of a domain and pointing it to an address managed by attackers. Attacks on this vulnerability
Security Web Cache Poisoning Web cache poisoning là một lỗi khá là khó tấn công, một mối nguy hại thường được mọi người coi là "mang tính lí thuyết". Tuy vậy, đã
Security ROBOT ATTACK Một trong những cuộc tấn công mật mã gần đây nhất được công bố vào tháng 12/2017 được 3 nhà mật mã học Hanno Böck, Juraj Somorovsky, Craig Young
Playing with X11 X Windows system X Window system (X), là một hệ thống hiển thị giao diện người dùng GUI trên *nix, tương đương với hệ thống hiển thị mặc định trên
Malwares Mã độc đào tiền ảo làm những gì trên máy tính nạn nhân Những ngày vừa qua, một loại mã độc mới xuất hiện được xác định dùng để đào tiền ảo, loại mã độc này một khi được chạy sẽ chiếm dụng
Security My talk at Vietnam Web Summit 2017 Today, I spoke at Vietnam Web Summit 2017, one of the biggest web-technology events in Vietnam. My talk presented trends of web application attacks in recent years, including: Injection, Broken
ctf Tổ chức một kỳ thi Capture The Flag như thế nào? Giới thiệu CTF là một môn thể thao trí tuệ của giới hacker. Và đương nhiên, khi tổ chức một cuộc thi như vậy thì ban tổ chức sẽ phải
research Using Remote Asset Bundle in Unity3D framework really safe? Introdution If you are a mobile application developer, you may be interested in exposing sensitive information from your application because of decompilation a mobile app such as Android app is
vulnerability Dirty Cow — CVE-2016-5195 Về Dirty Cow Gần đây tôi có thấy nhiều thông tin về lỗ hổng này, được đánh giá là Serious, cho phép leo thang đặc quyền, ảnh hưởng đến nhiều
research How does HTTPS actually work? What is HTTPS? We’ve heard a lot about HTTPS, and we use it every day. If you access a website from your browser and you see a little green
