2017年 第26周 微信公众号精选安全技术文章总览

洞见网安 2017-6-26

0x1 PRMitM：一种可重置账号密码的中间人攻击，双因素认证也无效

红山瑞达 2017-07-01T08:52:30

在今年的IEEE研讨会上，来自以色列管理学术研究学院的研究人员展示了一种新的攻击方法。这种攻击方法被命名为P

中间人攻击(MitM) 密码重置攻击 双因素认证 电子邮件安全 手机应用安全 网络安全漏洞 用户隐私 安全研究 安全防护

0x2 【漏洞预警】CVE-2017-6920:Drupal远程代码执行漏洞分析及POC构造

ADLab 2017-06-26T16:24:14 启明星辰

本文分析了Drupal 8.x版本中一个编号为CVE-2017-6920的Critical级别远程代码执行漏洞。该漏洞由Drupal Core的YAML解析器处理不当导致，影响8.x版本的Drupal Core。文章详细描述了漏洞的触发点、分析过程，包括与不同版本文件的比较，以及如何利用yaml_parse函数可能导致的不安全反序列化操作。文章还介绍了如何通过修改php.ini文件来禁用该漏洞，以及如何通过安装yaml扩展来触发漏洞。此外，文章提供了漏洞的验证方法和修复建议，包括升级到安全版本或手动修改相关文件。最后，文章简要介绍了启明星辰ADLab的研究方向和成果。

漏洞分析 远程代码执行 Drupal漏洞 YAML解析器 安全补丁 渗透测试 代码审计 安全研究

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。