攻击即服务或漏洞利用即服務(英語:Exploit as a service)簡稱EaaS,是一种网络犯罪分子将零日漏洞的利用服务出租给其他黑客的方式。EaaS通常作为云服务提供。到 2021 年底,EaaS 已成为勒索软件团伙的新动向。 过去,零日漏洞通常在暗网上出售,但通常售价高昂,每个可达数百万...
5 KB (490 words) - 22:37, 4 February 2025
漏洞利用(英語:Exploit,本意为“利用”)是计算机安全术语,指的是利用软件中的漏洞得到计算机的控制权的行为,通常用于恶意目的。在英语中,“exploit”一词衍生自“to exploit”,意为“利用某事物为之谋利”,该词表示为了利用漏洞而编写的攻击程序,即漏洞利用程序。漏洞利用...
19 KB (1,948 words) - 17:19, 4 July 2025
漏洞。漏洞的可利用性因恶意攻击者而异。有些漏洞根本无法利用,而另一些漏洞则可被用于通过拒绝服务攻击扰乱设备。最有价值的漏洞允许攻击者在用户不知情的情况下注入并运行他们自己的代码。 虽然“零日”一词最初指的是软硬件供应商意识到漏洞后的时间,但零日漏洞也可以定义为没有补丁或其他修复程序可用的漏洞...
25 KB (3,414 words) - 10:15, 23 July 2025
business. ZDnet. 2021-03-04 [2023-02-11]. (原始内容存档于2024-02-05). 什麼是勒索軟體即服務 (RaaS) ?. Cloudflare. [2024-10-25]. (原始内容存档于2024-09-08). 軟件即服務 勒索軟體 漏洞利用即服务...
2 KB (133 words) - 10:46, 18 March 2025
Hire: Understanding Fraud as a Service. About Fraud. 殺豬盤詐騙「即服務」化! 全球加密貨幣詐騙惡化中. 資安人. [2024-10-24]. (原始内容存档于2024-07-22). 詐騙 駭客 詐騙園區 軟件即服務 漏洞利用即服務 勒索軟件即服務...
3 KB (245 words) - 19:24, 30 November 2024
服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),因此漏洞的名称来源于“心跳”(heartbeat)。该程序错误属于缓冲区过读,即可以读取的数据比应该允许读取的还多。 心脏出血在通用漏洞...
105 KB (9,123 words) - 13:44, 15 July 2025
。系统管理员可以利用Nmap來探測工作環境中未經批准使用的服务器,黑客通常会利用Nmap來搜集目标电脑的網絡设定,从而计划攻击的方法。 Nmap通常用在信息搜集阶段,用于搜集目标机主机的基本状态信息。扫描结果可以作为漏洞扫描、漏洞利用和权限提升阶段的输入。例如,业界流行的漏洞扫描工具Nessus与漏洞利用...
9 KB (1,138 words) - 15:47, 13 June 2023
漏洞或脆弱性(英語:Vulnerability),是指计算机系统安全方面的缺陷,使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。 在《GB/T 25069-2010 信息安全技术 术语》,将脆弱性定义为“资产中能被威胁所利用的弱点”。 许多安全漏洞是程序错误导致的,此时可叫做安全錯誤(英語:Security...
7 KB (766 words) - 17:19, 4 July 2025
永恒之蓝 (category 保全漏洞)
2017年6月27日,有勒索软件冒充是Petya利用永恒之蓝漏洞在欧洲地区大肆传播,该勒索软件被命名为NotPetya。其带有较强的政治目的进行攻击即进行破坏而不是索要赎金,即便受害者支付赎金也不会得到任何密钥,因为NotPetya根本就没有编写密钥上传模块到控制者的服务...
6 KB (494 words) - 17:16, 5 January 2022
幽灵(英語:Spectre)是一个存在于分支预测实现中的硬體缺陷及安全漏洞,含有预测执行功能的现代微处理器均受其影响,漏洞利用是基於時間的旁路攻擊,允许恶意进程獲得其他程序在映射内存中的資料内容。Spectre是一系列的漏洞,基於攻擊行爲類型,賦予了两个通用漏洞披露ID,分别是CVE-2017-5753(bounds...
35 KB (3,370 words) - 13:50, 5 June 2024
类似,是通过恶意放大流量限制受害者系统的宽带;其特点是利用僵尸程序通过伪造的源IP(即攻击目标IP)向某些存在漏洞的服务器发送请求,服务器在处理请求后向伪造的源IP发送应答,由于这些服务的特殊性导致应答包比请求包更长,因此使用少量的宽带就能使服务器发送大量的应答到目标主机上。 UDP洪水攻击(User...
16 KB (2,312 words) - 10:44, 7 January 2025
Crypto的合法软件来加密文件。一旦加密完成,文件名后会附加“Wincry”,这也是WannaCry名称的由来。Wincry是加密的基础,但恶意软件还利用了两个额外的漏洞,即EternalBlue和DoublePulsar,使其成为一种加密蠕虫。EternalBlue自动通过网络传播病毒,而DoublePuls...
44 KB (4,613 words) - 05:54, 24 May 2025
服務失去功能、在沒有得到授權的情況下偷取或存取任何一電腦的資料,都會被視為於電腦和電腦網絡中的攻擊。 现代社会对日益复杂和互联的计算机系统的依赖性不断增加,这导致了网络攻击脆弱性的激增。几乎所有计算机系统都存在可能被攻击者利用的漏洞,使得构建一个完全安全的系统几乎不可能。...
32 KB (5,095 words) - 06:31, 26 November 2024
Application Firewall,縮寫:WAF)是一种特定形式的应用程序防火墙,用于过滤、监控和阻斷通過網頁服务的HTTP流量。透過監察HTTP流量,它可以防止利用網頁应用程序已知漏洞的攻击,例如SQL注入、跨網站脚本(XSS)、文件包含和不正确的系统配置。...
9 KB (1,003 words) - 16:07, 3 July 2025
曾经被广泛利用的系统漏洞之一是zergRush,该漏洞适用于Android 2.2-2.3.6系统,因而适用于很多Android系统手机。其他漏洞还有Gingerbreak、psneuter等等。一些“一键root”类工具(例如:Kingroot)正是利用这些Android系统漏洞...
9 KB (1,164 words) - 16:46, 22 June 2025
即所谓的出口级加密)。此举是为了便于NSA破译加密。时至2015年,随着计算能力的发展,破解这种加密已经不再是政府机构才能做到的事,任何人只要拥有充足的计算资源,就能通过普通数域筛选法加上约100美元的云计算服务轻而易举地将其破译。这个缺陷还能和中间人攻击结合利用...
9 KB (820 words) - 17:15, 11 May 2025
贵宾犬漏洞(又称 POODLE 漏洞,其全称为“降级加密密文填塞攻击”)是一种利用互联网及安全软件客户端回滚 SSL3.0 加密算法的行为的中间人攻击。在漏洞被成功利用的情况下,攻击者平均只需要发送 256 次 SSL3.0 请求即可破解 1 字节加密信息。来自谷歌安全团队的 Bodo Möller...
2 KB (304 words) - 06:16, 28 June 2021
JailbreakMe是一个iOS越狱工具,由越狱开发者comex维护并开发。JailbreakMe利用了iOS版Safari的漏洞使浏览器崩溃来达到越狱的目的,如JailbreakMe 3.0就利用了Safari显示PDF文稿时的一个漏洞。 不同于 Blackra1n(英语:Blackra1n)、redsn0w、Ab...
10 KB (900 words) - 07:54, 5 June 2024
美国有线电视新闻网对拼多多进行了调查,发现该应用利用安卓系统的50多个漏洞安插恶意软件来窃取用户个人信息,未经用户授权自行提高用户权限,并阻止用户卸载。报道还称,拼多多内部人员透露,公司于2020年成立百人小组专门研究安卓的漏洞。 蓝点网称,拼多多于3月7日解散了这个漏洞挖掘团队,但仍保留20名核心成员继续挖掘和利用漏洞。...
54 KB (6,431 words) - 05:49, 12 June 2025
ru、GitHub等大量知名网站受影响。黑客可利用该漏洞给钓鱼网站“变装”,用知名大型网站链接引诱用户登录钓鱼网站,一旦用户访问钓鱼网站并成功登陆授权,黑客即可读取其在网站上存储的私密信息。该问题被凤凰网,网易,搜狐,太平洋电脑网,人民网,CSDN等大量中文网站报道。其实漏洞...
13 KB (1,372 words) - 05:25, 17 March 2024
建议洋蔥服務的营運者考慮把伺服器搬至另一處地方。 提醒用戶和营運者若攻擊者控制或監聽了Tor線路的兩端,那麼流量就無可避免地可被攻擊者去匿名化。 2014年11月,由全球司法部門開展的「去匿名化行動」導致了來自不同地區的17人被捕,故此後來有推測指Tor的漏洞已被人利用...
136 KB (13,071 words) - 04:41, 20 June 2025
2b2t (category 我的世界服务器)
Inc.從此得知玩家的實時位置、重要的儲藏物和玩家建築的位置。 他們選擇稱這個漏洞利用為「Nocom」,即「沒有回應」或者稱之爲「不予置評」(No comment),減少玩家們懷疑的機會。 最初漏洞只是原始的追蹤器,利用效率不佳,於是Nerds Inc.找來一位懂得機器學習的工程師,提升Nocom...
22 KB (2,347 words) - 02:29, 28 June 2025
「流氓」一樣的軟件。惡意軟體的形式包括二進位可執行檔、腳本、活動內容等。就定義來說,電腦病毒、電腦蠕蟲、特洛伊木馬、勒索軟體、間諜軟體、恐嚇軟體、利用漏洞執行的軟體、甚至是一些廣告軟體,也被囊括在惡意軟體的分類中。不過,無意的非使用預期的電腦裝置故障,則一般視作軟體臭蟲(software bug)。...
13 KB (1,477 words) - 21:33, 3 July 2025
尽管在流行文化中,黑客这个词已经与计算机犯罪分子联結在一起,即指利用系統漏洞的技术知识来執行侵入并访问原本无法获得之数据的人,但黑客技术也可以被合法人物在合法情况下使用。例如,执法机构有时会使用黑客技术来收集有关罪犯和其他恶意行为者的证据,这可能包括使用匿名工具(如VPN或暗网)来掩盖執法者他们在网上的身份,即...
15 KB (1,781 words) - 05:45, 24 July 2025
(页面存档备份,存于互联网档案馆) 2008年5月20日,RPC安全漏洞可导致内存泄漏 (页面存档备份,存于互联网档案馆) 2008年10月23日,RPC安全漏洞可导致远程代码执行 (页面存档备份,存于互联网档案馆) 2008年12月9日,EventLog服务可导致计算机无响应 (页面存档备份,存于互联网档案馆)...
14 KB (1,465 words) - 10:04, 24 December 2024
目录遍历 (category 保全漏洞)
traversal),又名路径遍历(英文:Path traversal)是一种利用网站的安全验证缺陷或用户请求验证缺陷(如传递特定字符串至文件应用程序接口)来列出服务器目录的漏洞利用方式。 此攻击手段的目的是利用存在缺陷的应用程序来获得目标文件系统上的非授权访问权限。与利用程序漏洞的手段相比,这一手段缺乏安全性(因为程序运行逻辑正确)。...
10 KB (1,195 words) - 01:35, 25 February 2025
其中,百度卫士与百度杀毒是反映较多的产品。 百度全家桶的部分产品有使用一些手段在用户不知情或不同意情况下入驻设备。 强制安装 百度杀毒即曾经利用Windows漏洞强行安装等涉嫌流氓软件的行径。而更多的,是安装了百度其中一项产品,而捆绑安装其他产品的情况。 Oracle的JAVA产品,也在2015年...
11 KB (1,501 words) - 09:19, 12 May 2024
代碼注入 (category 注入漏洞)
當用戶拜訪惡意網站時,透過網頁瀏覽器或其插件的漏洞安全隱患,進行代碼注入,以便安裝流氓軟件到用戶機器上。 透過PHP或者ASP注入安裝流氓軟件或者執行惡意代碼於伺服器端。 於UNIX系統利用Shell注入安全隱患對setuid root(英语:Setuid)二進位資料作修改,達成提權到root使用權限的目的。 於視窗系統利用...
18 KB (2,414 words) - 11:43, 3 July 2025
攻擊者甚至可以利用在信譽卓著網站自己的腳本漏洞對付受害者。這一類型攻擊(也稱為跨網站指令碼)的問題尤其特別嚴重,因為它們導引用戶直接在他們自己的銀行或服務的網頁登入,在這裡從網絡位址到安全證書的一切似乎是正確的。而實際上,鏈接到該網站是經過擺弄來進行攻擊,但它沒有專業知識要發現是非常困難的。這樣的漏洞於2006年曾被用來對付PayPal。...
78 KB (8,912 words) - 03:45, 28 July 2025
2020年美国联邦政府数据泄露事件 (section 微软漏洞利用)
此次事件的攻击者使用了多种攻击手段。 攻击者利用了微软产品、服务和软件分销基础设施中的缺陷。 至少有一家微软云服务分销商被攻击者入侵,这构成了一种供应链攻击,使得攻击者能够访问被入侵分销商客户使用的云服务。 除此之外,“Zerologon”漏洞(微软认证协议NetLogon中的一个漏洞...
160 KB (12,565 words) - 03:30, 26 January 2025
然使用自签名证书。目前,全站均已使用DigiCert签发的证书。 中国铁路客户服务中心网站的稳定性曾广遭诟病,如运行期间多次出现“服务器忙”等提示,甚至几度宕机。中国大陆“乌云漏洞报告平台”也曾多次曝出该网站存在安全漏洞。 虽然有着各種各樣的問題,但12306在硬件配置上仍是全球效能最強的客運網上...
39 KB (4,786 words) - 10:19, 27 May 2025