记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

漏洞预警 | FFmpeg曝任意文件读取漏洞

最近有白帽在HackerOne平台上报了ffmpeg漏洞,该漏洞利用ffmpeg的HLS播放列表处理方式,可导致本地文件曝光。 漏洞描述 6月24日,HackerOne平台名为neex的白帽子针对俄罗斯最大社交网站VK.com上报了该漏洞,并因此获得1000美元奖金。 ffmpeg可处理HLS播放列表,而播放列表中已知可包含外部文件的援引。neex表示他借由该特性,利用avi文件中的GAB2字幕块,可以通过XBIN codec获取到视频转换网站的本地文件。 6月25日,另一位白帽子Corben Douglas (@sxcurity)表示他在看过neex的报告后进一步研究了ffmpeg,他针对发现的漏洞写了完整的重现过程,利用包含外部文件援引的HLS播放列表,导致可任意读取本地文件。 影
发布时间:2017-06-27 03:15 | 阅读:117247 | 评论:0 | 标签:漏洞 FFmpeg HackerOne

HackerOne平台2016年最具竞争力的漏洞悬赏项目

互联网充斥着漏洞,这是不足为奇的事。从程序员开始写代码起,他们就必定会犯错。而只要他们犯错,犯罪分子、政府、黑客分子就都能对这些漏洞无所不用其极。 谷歌、Facebook、Dropbox、PayPal、微软、雅虎,甚至电动车制造商特斯拉等科技公司如今都有一种悬赏机制,只要黑客发现他们产品存在的漏洞并报告给他们,这些公司就会向这些黑客提供奖金。 这是科技行业对黑客发现漏洞的标准回应方式发生的重大转变。 HackerOne作为漏洞奖励平台也吸引了很多需求方的关注,越来越多的企业和政府机构开始加入到漏洞悬赏的阵营中。以下为HackerOne评选的2016年最具竞争力的漏洞悬赏项目,白帽黑客们赶紧看过来! 1. PornHub   今年5月,为了鼓励人们提交网站安全漏洞,成人网站Pornhub携手漏
发布时间:2016-12-11 18:05 | 阅读:171080 | 评论:0 | 标签:其他 安全报告 2016 HackerOne 漏洞

继“黑掉五角大楼”之后 美军启动“黑掉陆军”众测项目

几乎每家大型科技公司都会给找出他们软件漏洞的黑客提供现金奖励。五角大楼也不甘落后,今年启动了其首个漏洞奖励项目以扩展政府防御其系统的方式。现在,军队也加入了进来,“黑掉陆军”漏洞奖励项目本月正式上马。 即将离职的美国陆军部长埃里克·范宁宣布,该项目诚邀黑客筛查陆军数字征兵基础设施中的漏洞。与“黑掉五角大楼”不同,“黑掉陆军”不仅邀请黑客评估静态网站,关注重点还放在征兵网站和申请者及现役军官的个人信息数据库上。该项目没有对所有人开放,只有通过审查的黑客才会受邀。但军方和政府雇员想要参与的话,自动获得门票。 “科技界和国防部之外发生的很多事,我们都没能及时跟上。此举就是要找寻做事的新方式。”新闻发布会上范宁如是说。 对范宁来说,征兵涉及的数字服务是“关键任务”,但显然不像战斗车辆的导航和通信系统来得那么重要。不过
发布时间:2016-11-15 03:15 | 阅读:105267 | 评论:0 | 标签:牛闻牛评 HackerOne 众测

Hackerone:漏洞众测的未来会生机勃勃

2015年底,漏洞奖励平台HackerOne新任了一位CEO,荷兰人马特恩.米克斯。米克斯在世纪之交时任MySQL的CEO,8年之后离开赴任云计算公司Ecalyptus的CEO,该公司后被惠普收购。从惠普离开之后,米克斯出人意料的接受了HackerOne伸来的橄榄枝。马特恩.米克斯上任三个月之后,在HackerOne宣布内测新的漏洞订阅服务时,米克斯接受了知名黑客媒体 EI Reg 的采访,这位科技精英对黑客经济有着清晰、明确的想法,并对漏洞奖励市场有着无比的信心。下面是安全牛翻译整理的采访内容:记者:为什么来HackerOne?从你的职业生涯来看,与之前的领域区别很大。米克斯:我知道自己只能当CEO。我考虑了很多公司,他们都给我提供了机会,但HackerOne吸引了我。有两件事情是我喜欢做的,建立团队和给市场
发布时间:2016-03-12 21:00 | 阅读:95347 | 评论:0 | 标签:牛闻牛评 HackerOne 漏洞众测 漏洞

拥抱白帽黑客,通用宣布安全漏洞报告项目

今年的 1 月 5 日,通用汽车与 HackerOne 合作,低调宣布了首个公共安全漏洞报告项目。通用的首席网络安全官 Jeff Massimilla 告诉 Ars Technica 网站,这是通用与外部安全研究员建立关系的第一步,能够让通用更快地发现和处理安全漏洞。 “我们很重视第三方的安全研究。” Massimilla 说。他解释说,只要第三方遵循通用发布的规则,那么,当他们发布安全漏洞后,就能够得到通用的合作而不是法律制裁。此项目的重要部分是与 HackerOne 的合作。Massimilla 承认说,在与外部安全人员合作方面,通用并没有多少经验,HackerOne 起到了一个沟通协调的作用。 与特斯拉的漏洞奖励项目相比,通用的新项目不够完善和全面,不过,安全宣传机构 I Am The Cavalry 的
发布时间:2016-01-10 09:40 | 阅读:89205 | 评论:0 | 标签:业界 HackerOne 物联网 通用 漏洞

安全众测平台HackerOne获2500万B轮融资

安全众测漏洞发现平台HackerOne于当地时间24日宣布完成由New Enterprise Associates引领的2500万美元B轮融资。从2014年5月的900万美元的A轮融资起,两轮融资已达3400万美元。 这2500万美元的融资,HAckerOne将用于奖励黑客,HackerOne的目的就是鼓励黑客团体发现并揭露公用软件的安全漏洞。如果黑客能够发现漏洞并及时通知公司,就会得到报酬。加入黑客团体是企业发现安全漏洞的有效方式。 本轮的天使投资人包括之前的投资者Benchmark、Salesforce总裁兼CEO Marc Benioff、Yelp的CEO Jermy Stoppelman、Digital Sky科技创始人Yuri Milner、Dropbox联合创始人兼CEO Drew Houston、
发布时间:2015-07-01 01:40 | 阅读:130916 | 评论:0 | 标签:业界 HackerOne 漏洞

HackerOne:实现白帽黑客和企业双赢

北京时间6月8日下午消息,旧金山一家创业公司HackerOne试图吸引黑客积极解决软件系统的漏洞,而不是利用漏洞。该公司帮助所谓的“白帽”黑客与愿意付费的企业牵线搭桥。 2011年,荷兰两名20多岁的黑客米歇尔·普林斯(Michiel Prins)和约伯特·阿布玛(Jobert Abma)列出了100家他们计划攻击的科技公司。不久之后,他们就发现了Facebook、谷歌、苹果、微软、Twitter和其他95家公司系统中的漏洞。他们将这一名单称作“Hack 100”。 当他们联系这些公司的管理者时,有1/3公司并不关注这些问题。另1/3的公司对他们表示感谢,但并未修复漏洞。而其余公司则试图尽快解决漏洞。目前,普林斯和阿布玛试图为这样的工作找到商业模式,并成立了HackerOne。 去年,HackerOne吸引了科
发布时间:2015-06-09 07:30 | 阅读:74599 | 评论:0 | 标签:业界 HackerOne

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云

本页关键词