爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

Johnson Controls 修复Kantech EntraPass中的高危漏洞

# Kantech EntraPass 安全漏洞(CVE-2020-9046)分析与修复指南 ## 漏洞概述 **漏洞编号**: CVE-2020-9046 **影响产品**: Johnson Controls旗下Tyco Security的Kantech EntraPass安防管理软件 **受影响版本**: 8.22及之前所有版本 **CVSS v3评分**: 8.8 (高危) **漏洞类型**: 访问控制错误漏洞 **发现/披露时间**: 2020年6月1日 #

2025-08-15 16:24:25

VMware发布更新修复先前补丁程序中的漏洞

# VMware CVE-2020-3950及CVE-2020-3957漏洞分析与修复指南 ## 漏洞概述 VMware在2020年3月修复了影响其多款Mac产品的提权漏洞(CVE-2020-3950)，但随后发现补丁不完整并引入了新的漏洞(CVE-2020-3957)。本指南将详细介绍这两个漏洞的技术细节、影响范围及修复方案。 ## CVE-2020-3950漏洞分析 ### 漏洞基本信息 - **漏洞编号**: CVE-2020-3950 - **漏洞类型**: 权限提升漏洞 - *

2025-08-15 16:23:53

美CISA披露Inductive Automation Ignition超危漏洞

# Inductive Automation Ignition Gateway 超危漏洞分析与修复指南 ## 漏洞概述美国网络安全和基础设施安全局(CISA)披露了Inductive Automation公司Ignition Gateway产品中的三个安全漏洞，包括两个CVSS v3评分为9.8的超危漏洞和一个中危漏洞。 ### 受影响产品 - **产品名称**: Inductive Automation Ignition Gateway - **受影响版本**: 8.0.10之前的所有

2025-08-15 16:23:21

Mitron视频制作App存在安全漏洞，攻击者可在数秒内入侵用户账户

# Mitron视频制作App安全漏洞分析报告 ## 漏洞概述 Mitron视频制作App存在一个严重的安全漏洞，允许攻击者在数秒内入侵用户账户。该漏洞存在于"Login with Google"功能中，无需用户密码即可访问账户。 ## 受影响范围 - 应用名称：Mitron视频制作App - 平台：Google Play Store - 下载量：超过500万次 - 平均评级：4.7星 - 主要市场：印度（作为TikTok的竞争对手） ## 漏洞技术细节 ### 漏洞位置 "Logi

2025-08-15 16:22:50

IP-in-IP隧道协议安全漏洞影响Cisco等厂商的设备

# IP-in-IP隧道协议安全漏洞(CVE-2020-10136)深度分析 ## 漏洞概述 CVE-2020-10136是一个存在于IP-in-IP隧道协议中的高危安全漏洞，CVSS评分为8.6。该漏洞影响Cisco、Digi International、Hewlett Packard Enterprise和Treck等厂商的设备，可能导致拒绝服务攻击、绕过安全控制和信息泄露等严重后果。 ## 技术背景 ### IP-in-IP隧道协议 IP-in-IP封装(IP-in-IP Enc

2025-08-15 16:12:09

Google发布Android 6月安全更新

# Android 6月安全更新漏洞分析与防护指南 ## 漏洞概述 Google在2020年6月的Android安全更新中修复了多个高危安全漏洞，影响Android 8至Android 10版本。这些漏洞主要分布在Android System、Framework、Media Framework和Kernel组件中。 ## 关键漏洞详情 ### 1. 超危远程代码执行漏洞 **CVE编号**: - CVE-2020-0117 - CVE-2020-8597 **影响范围**: Andr

2025-08-15 16:11:30

黑客可利用SAP ASE安全漏洞入侵数据库服务器

# SAP ASE 严重安全漏洞分析与防护指南 ## 漏洞概述 2020年6月，Trustwave网络安全公司发现SAP Sybase Adaptive Server Enterprise(ASE)数据库软件中存在六个严重安全漏洞，攻击者可利用这些漏洞完全控制目标数据库，甚至控制底层操作系统。 ## 漏洞详情 ### 1. CVE-2020-6248 (CVSS 9.1) - **类型**：命令执行漏洞 - **影响**：数据库备份过程中的安全缺陷 - **细节**： - 在数据库备

2025-08-15 16:10:41

挖洞经验 | 从postMessage跨域通信中发现的Facebook DOM XSS（$20000）

# 从postMessage跨域通信中发现DOM XSS漏洞的深入分析与利用 ## 1. postMessage基础 `window.postMessage()`是实现跨域通信的关键API，它允许不同源的页面脚本相互通信，主要应用场景包括： - 页面与生成的弹出窗口之间 - 页面与嵌入其中的iframe之间 **安全注意事项**： - 必须验证消息来源(`event.origin`) - 必须验证消息内容 - 避免使用通配符`*`作为目标origin ## 2. 漏洞背景 postMe

2025-08-15 16:09:59

基于golang+lua的Web日志安全分析系统

# FBI-Analyzer Web日志安全分析系统教学文档 ## 一、系统概述 FBI-Analyzer是一个基于Golang和Lua开发的灵活日志分析系统，采用插件化架构设计，主要用于Web安全分析场景。该系统可作为WAF的辅助系统，通过旁路分析减轻WAF性能压力。 ### 核心特点 - **插件化架构**：类似ngx-lua的设计风格，使用Lua编写分析逻辑 - **高性能处理**：支持十万级QPS的日志分析 - **旁路分析**：与业务系统解耦，不影响线上服务性能 - **快速生效

2025-08-15 16:08:52

攻击者可利用Zoom漏洞通过聊天入侵系统

# Zoom视频会议软件路径遍历漏洞分析报告 ## 漏洞概述 2020年6月，Cisco Talos网络安全研究人员在Zoom视频会议软件中发现两个严重安全漏洞，允许远程攻击者通过聊天功能入侵系统。这两个漏洞都属于路径遍历类型，影响Zoom 4.6.10版本，已在4.6.12版本中修复。 ## 漏洞详情 ### 1. CVE-2020-6109 - GIF功能路径遍历漏洞 **漏洞描述**： - 与Zoom利用GIPHY服务通过聊天交换动画GIF的功能相关 - Zoom未对GIF源进行

2025-08-15 16:07:16

技术讨论 | 看我如何制造漏洞绕过安全软件来加入自启动

# 利用WebShell绕过安全软件实现自启动的技术分析 ## 技术背景当前安全软件对传统自启动方式的检测越来越严格： - 注册表启动项被严格监控 - 服务启动方式也被安全软件拦截 - 传统进程注入技术容易被检测 ## 核心思路通过制造"漏洞"实现隐蔽自启动： 1. 写入WebShell到Web目录 2. 利用WebShell执行系统命令 3. 通过命令添加自启动项 ## 技术实现细节 ### 1. WebShell构造使用PHP编写简单WebShell： ```php `

2025-08-15 16:06:40

挖洞经验 | 用Chrome浏览器工具发现Gmail中的DOM XSS

# **利用Chrome开发者工具发现Gmail DOM XSS漏洞的详细教学** ## **1. 漏洞概述** 本案例研究的是Gmail中的一个**DOM-based XSS漏洞**，该漏洞源于Gmail的跨域通信（`postMessage`）机制未对消息来源进行严格验证，导致攻击者可以在特定条件下执行任意JavaScript代码。漏洞最终被谷歌安全团队确认并奖励$5000。 --- ## **2. 漏洞发现的关键点** ### **2.1 关注点：Gmail的跨域通信（postMess

2025-08-15 16:05:54

跳转到页