ROBOTATTACK ——一个由PKCS引发长达19年的血案

作者:k2yk 日期:2017/12/15 最后更新日期:2017/12/18 0x00 简介 ROBOTATTACK是一个寿命十分长久的漏洞,至今已有19年的历史。ROBOTATTACK允许攻击者使用服务器上的私钥对传输数据进行解密操作以及使用服务器上的私钥进行签名操作。 早在 1998年的时候,Daniel Bleichenbacher发现了在一些 SSL服务器上给出的关于 PKCS #1 1.5的错误信息可被进行选择密文攻击(adaptive-chosen ciphertext...

stringbleed 事件分析报告

作者:k2yk 日期:2017/05/04 最后更新日期:2017/05/10 pdf版本:stringbleed事件分析报告 0x01. 事件概述 在2016年12月,Ezequiel Fernandez 和Bertin Berviszai在一次FUZZ测试中发现了SNMP(简单网络管理协议)的v1和v2版本协议存在授权认证和访问控制绕过漏洞,至少有78种型号的网络接入和IoT设备受此漏洞影响,攻击者可以利用该漏洞远程获得相关设备的读写权限,进而控制设备。这一漏洞被发现者命名为Stringbleed,受影响的设备产品类型涉及路由器、...

IIS6.0 远程代码执行漏洞事件分析报告

作者:昊天实验室 日期:2017/03/29 最后更新日期:2017/03/30 pdf版本:IIS6.0 远程代码执行漏洞事件分析报告.pdf 0x01. 事件概述 在2017年3月26日CVE确认并公开了一则关于 CVE-2017-7296 漏洞信息,作者是华南理工大学计算机科学与工程学院信息安全实验中的Zhiniang Peng 和 Chen Wu 发布出来的,...