攻击者

意外关联:公司的无线LAN或是有线LAN的无线接入点很靠近(例如在同一个或者相邻的建筑内)可能造成覆盖范围的重叠。一个试图连接到某一局域网的用户可能无意地关联了隔壁网络的一个无线接人点。尽管这个安全漏洞是意外的然而这个漏洞却将局域网的资源暴露给了这个意外的用户

1.如果你没有积极地参与Web应用程序开发，几乎就不可能了解HTTP协议的内部工作机理，也几乎没有机会知道Web应用程序与数据库进行交互的不同方法，也无法真正知道，当用户点击了一个链接或在浏览器的URL中键入字符时会发生什么。如果你以前并没有编程技能，也没有积极地参与Web应用程序的开发，就不可能有效地执行渗透测试。作为渗透测试人员，你需要Web应用程序和HTTP协议的基础知识

远程设备缺少供应商提供的安全补丁。 根据其自我报告的版本，Cisco 电子邮件安全设备受到基于 DNS 的命名实体身份验证 (DANE) 电子邮件验证组件中一个漏洞的影响，该漏洞可能允许未经身份验证的远程攻击者在受影响设备上造成拒绝服务 (DoS) 情形。此漏洞是由于受影响的软件对 DNS 名称解析的错误处理不充分所导致

导读：我们经常会听到有关动物的各种谬误，您比如说蜜蜂只能蛰你一次、兔子爱吃萝卜、大象的鼻子像习惯等等各种各样的说法。或许是从老一辈哪里听到的，也或者是不经意间从朋友那听来的。总之，这些对动物的看法，都是错误的

由于堆栈耗尽而导致控制平面不能拒绝未经身份验证的服务攻击。 Istio 控制平面 istiod 容易受到请求处理错误的影响，允许恶意攻击者发送特制或超大消息，从而在 Kubernetes 验证或变异 webhook 服务公开时导致控制平面崩溃。此端点通过 TLS 端口 15017 提供服务，但不需要攻击者的任何身份验证

近日，阿里云云盾应急响应中心监测到微软发布6月份的安全公告，本次安全公告显示微软修补了50个漏洞，包括11个严重漏洞，其中部分漏洞可被用来远程执行代码和本地提权。 NTFS未能正确检查访问权限，成功利用该漏洞的攻击者可以以提升的权限运行进程。利用该漏洞需要攻击者登录到系统并执行特殊构造的恶意程序

绿盟科技发布了本周安全通告，周报编号NSFOCUS-18-39， 绿盟科技漏洞库 本周新增76条，其中高危20条。本次周报建议大家关注Foxit Reader for Windows 任意代码执行安全漏洞等，在Foxit Reader 9.2.0.9297及之前版本中Mouse Exit对象的处理过程存在释放后重用漏洞，该漏洞源于程序在对对象执行操作前，没有检测该对象是否存在。远程攻击者可借助恶意的文件或页面，利用该漏洞在当前进程的上下文中执行任意代码

近日，Chekmarx团队的研究人员发现并公布了Apache Dubbo中存在的一个反序列化漏洞（CVE-2019-17564）。 当在Dubbo应用中启用了HTTP协议进行通信时存在该漏洞，攻击者可能提交一个包含Java对象的POST请求来完全破坏Apache Dubbo的提供者实例。 Dubbo HTTP实例会去反序列化Java ObjectStream中的数据，如果数据中包含一组恶意类，由于没有做任何安全过滤和检查那么反序列化将会导致恶意代码的执行

组件对象模型 (COM) 是 Windows 中的一个系统，它支持软件组件之间通过操作系统交互。 攻击者可以使用该系统插入恶意代码，这些代码可以通过劫持 COM 引用和关系作为持久化的手段来代替合法软件执行。 劫持 COM 对象需要更改 Windows 注册表，以替换对合法系统组件的引用，这可能导致该组件在执行时无法正常工作

远程 Windows 主机受到多个漏洞的影响。 远程 Windows 主机缺少安全更新。因而会受到多个漏洞的影响：- 由于未正确处理内存对象，Windows 虚拟安全模式中存在信息泄露漏洞