国外车企安全渗透案例【2】– 发现法拉利、宝马、劳斯莱斯、保时捷等车企关键漏洞
法拉利完全帐户接管和任意帐户创建 当白帽团队开始瞄准法拉利时,在“ferrari.com”等公开域名下绘制了所有子域,并浏览了可以访问的内容。 其中发现的一个目标是“api.ferrari.com”,...
骨哥说事公众号首发地
法拉利完全帐户接管和任意帐户创建 当白帽团队开始瞄准法拉利时,在“ferrari.com”等公开域名下绘制了所有子域,并浏览了可以访问的内容。 其中发现的一个目标是“api.ferrari.com”,...
背景介绍 2022 年秋天,国外一群白帽小哥从伊利诺伊州芝加哥到华盛顿特区进行了一次公路旅行,参加一场网络安全会议,同时从平时的工作中放松一下。 当他们参观马里兰大学时,发现校园里摆放着一堆电动踏板车...
前言 ServiceNow 是一个广泛使用的业务转型平台,最近披露了三个严重的安全漏洞,可能会给全球组织带来严重后果。 三个漏洞分别为 CVE-2024-4879、CVE-2024-5217 和 CV...
漏洞概述 VMware vCenter Server最近修补的一个高危漏洞(CVE-2024-22274)被公开发布了概念验证(PoC)利用代码。该漏洞允许具有管理员权限的攻击者在底层操作系统上执行任...
前言 就在几天前,Windows 因另一个严重漏洞而成为头条新闻!该漏洞被确定为 CVE-2024-30078,这是 Windows WiFi 驱动程序中的一个缺陷,有可能与臭名昭著的 Log4j 漏...
背景介绍 该项目为一个云银行平台,使银行提供商能够根据他们的描述快速创建、推出和服务贷款和存款产品。 漏洞发现 白帽小哥正在测试的子域有两个权限Admin&User,他们在这两个权限之中发现了...
漏洞简述 问题仍出在 "docx "文件上,该漏洞基于 Follina 的0day漏洞,依然是利用的宏脚本实现的RCE操作。视频演示中,可以看到:用户如何被诱骗打开攻击者发送给他们...
漏洞复现 1、首先访问 https://connectnb.ups.com/Layout/login 2、 输入Admin/1111 登录 3、可以看到用户名、密码错误的提示: 4、打开Burp,开启...
背景介绍 国外白帽在 Web 登录组件的 OTP 页面中发现了一处严重漏洞,问题源于对某些请求参数的不当处理,从而通过响应操控实现未经授权的访问。 该漏洞的核心主要涉及 PIDM 和 WEBID 参数...
背景说明 CVE-2024-32002漏洞其实在今年5月份左右就已公布,但在一些‘特殊’时期,还需额外警惕利用该漏洞发起的相关攻击手段。 漏洞概述 CVE-2024-32002 利用了 Git 在处理...