事情发生在5月中旬,ATN技术人员发现Token合约由于存在漏洞受到攻击.不过ATN基金会随后透露,将销毁1100万个ATN,并恢复ATN总量,同时将在主链上线映射时对黑客地址内的资产予以剔除,确保原固定总量不变. 以下是事件还原. 事件回顾 2018年5月11日中午,ATN技术人员收到异常监控报告,显示ATN Token供应量出现异常,迅速介入后发现Token合约由于存在漏洞受到攻击.以下是黑客的攻击操作以及利用合约漏洞的全过程. 攻击 这次攻击主要分为4步.首先,黑客利用ERC223方法漏洞…

漏洞概述 zabbix是一个开源的企业级性能监控解决方案.近日,zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限. 官方网站 http://www.zabbix.com 影响程度 攻击成本:低 危害程度:高 是否登陆:不需要 影响范围:2.2.x, 3.0.0-3.0.3.(其他版本未经测试) 漏洞测试 在您的zabbix的地址后面加上如…

冤冤相报何时了,得饶人处且饶人.本文已被 https://www.yourbatman.cn 收录,里面一并有Spring技术栈.MyBatis.JVM.中间件等小而美的专栏供以免费学习.关注公众号[BAT的乌托邦]逐个击破,深入掌握,拒绝浅尝辄止. 目录 ✍前言 ✍正文 关于本次漏洞 漏洞详情 漏洞评级 影响版本 安全版本 故事时间轴 修复建议 ✍总结 推荐阅读: ✍前言 你好,我是YourBatman. 今天中午收到我司安全部发了一封邮件:Jackson存在安全漏洞.查了一下,这件事并不算很…

之前S2-020漏洞利用方式见drops:Struts2 Tomcat class.classLoader.resources.dirContext.docBase赋值造成的DoS及远程代码运行利用! 临时不清楚究竟是谁发出来的补丁绕过.之前 @Nebula 发的Tomcat: http://127.0.0.1/s/example/HelloWorld.action?class.classLoader.resources.dirContext.docBase=//192.168.x.x/test…

openssl 又摊上大事了,2014年6月5日,SSL/TLS Man-in-the-Middle Vulnerability 该漏洞使得攻击者能够拦截恶意中间节点加密和解密数据.同一时候强迫使用弱密钥的sslclient暴露在恶意节点中.当软件使用OpenSSL的受影响版本号.通过网页浏览.电子邮件和VPN进行内容和身份验证等加密通讯时会有篡改的风险. 这里介绍openssl的升级方法,当前不受影响的最新版本号为OpenSSL 1.0.1h, wget http://www.openssl.…

Struts2 昨天爆出高危漏洞,黑客利用这个漏洞可以执行任意命令(包括恶意的jsp代码),轻松绕过您的验证系统,登陆您的网站后台,使您的网站后台密码形同虚设!! 目前Struts2官方已经发布了一个补丁(补丁版本为: Struts 2.3.15.1) 具体请见: http://struts.apache.org/download.cgi#struts23151…

以太坊去中心化网页钱包开发系列,将从零开始开发出一个可以实际使用的钱包,本系列文章是理论与实战相结合,一共有四篇:创建钱包账号.账号Keystore文件导入导出.展示钱包信息及发起签名交易.发送Token(代币),本文是第四篇,Token(代币.通证)是以太坊的一大特色,既然开发钱包,则发送Token 功能必不可少. 合约 ABI 信息 首先我们需要明白,进行Token转账的时候,其实是在调用合约的转账函数,而要调用一个合约的函数,需要知道合约的 ABI 信息. 其次 通常我们所说的Token,…

AMR无限增发代币至任意以太坊地址的漏洞利用及修复过程 0x00 项目简述 Ammbr主要目标是打造具有高度弹性且易于连接的分布式宽带接入平台,同时降低上网相关成本.Ammbr打算创建具有人工智能和智能合约功能的高通量区块链平台,在为无线宽带用户清除障碍的同时,确保无数接入基础架构所有者公平参与.自2017年9月1日起发售AMMBR代币. 0x01 漏洞详情 合约地址: 0x96c833e43488c986676e9f6b3b8781812629bbb5 合约代码地址: https://ethe…

OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/ 受影响的版本包括: OpenSSL 1.0.1 through 1.0.1g OpenSSL 1.0.0 through 1.0.0l all versions before OpenSSL 0.9.8y 未影响版本: OpenSSL 1.0.1h OpenSSL 1.0.0m OpenSSL 0.9.8za 相关漏洞详情: http://…

自从著名J2EE框架Apache Struts2被曝出可被远程攻击者利用的执行漏洞后,关于Struts2的安全性便广受关注.近日,安全研究人员则再次发现了Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-045),并定级为高危漏洞. 编号为CVE-2017-5638的该漏洞,是基于Jakarta plugin插件的Struts远程代码执行漏洞.据悉,该漏洞会造成RCE远程代码执行,恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,…