757 天前 / 戚名钰
最近安全圈传的比较火的就是一位白帽子黑客,脱了“世纪佳缘”厂商的一些库,然后厂商一方面认可了他提的漏洞,另一方面却报警把他抓了起来。这个事情引发了安全界广泛的讨论。具体可看以下链接:《“白帽”黑客被抓事件,我想说….》、《别踩白帽子上位、也别总拿未授权说事》。而在这件事中,我从个人道路选择的角度上给出我的一些看法。首先不可否认的是,白帽子黑客们确实为安全整体...
757 天前 / 王下 邀月熊
背景 最近基于兴趣学学习了下 HTTPS 相关的知识,在此记录下学习心得。 在上网获取信息的过程中,我们接触最多的信息加密传输方式也莫过于 HTTPS 了。每当访问一个站点,浏览器的地址栏中出现绿色图标时,意味着该站点支持 HTTPS 信息传输方式。我们知道 HTTPS 是我们常见的 HTTP 协议与某个加密协议的混合体,也就是 HTTP+S。这个 S 可以...
757 天前 / 恒生技术君
在所有可能成为你敌人的对象中,有一个是你一定要尽量回避的,那就是——趋势。一个人打不过一个团队,一个团队打不过一个平台,一个平台打不过一个趋势,任何与趋势为敌的努力,最终都将一败涂地。当今中国社会最大的趋势,就是“互联网化”,它以不可阻挡之势,席卷了一切,打破了几乎所有行业固有的游戏规则,包括金融业。 随着互联网金融的发展,一个关键词被越来越多的试水互联网金...
757 天前 / tesths
前言 此前有人统计过2015年漏洞最多的产品,苹果的OSX与iOS系统分别占据第一二名,虽有人怀疑统计数据可能存在重复的不准确情况,但相信大趋势是不会变的。 2015年在iOS平台上也发生过不少安全大事,比如“XcodeGhost”事件、iOS9越狱、“iBackDoor“、“YouMi“事件等等,尤其是XcodeGhost影响甚大,注定要在iOS安全史上留...
757 天前 / 加油毛子
刚好这两天对之前github上关注的一些比较有意思的项目进行了一下分类整理,在这里列出来分享给大家,希望能对大家寻找工具或者资源有所帮助。大部分Repo是关于安全以及Python的,也有一些其他主题的项目,有很多我都没有用过,关于项目的功能概括如果写的有不对的地方,还请大家多多包涵,给予指正。欢迎组团欢迎一起学习交流!转载请注明出处。漏洞及渗透练习平台: W...
757 天前 / 王下 邀月熊
Checked C is an extension to C that adds static and dynamic checking to detect or prevent common programming errors such as buffer overruns, out-of-bounds memory accesses, and inco...
757 天前 / 方块A
0x01前言作者:HackBraid,乌云核心白帽子。白帽子分享之代码审计的艺术系列(二、三、四季)是对绕过全局防护的场景进行的总结。没看前几季的同学,可以关注下。代码审计的艺术系列—第一篇 白帽子分享之代码的艺术系列—第二篇 白帽子分享之代码审计的艺术系列第三季 白帽子分享之代码审计的艺术系列第四季 接下来两篇介绍全局防护存在的盲点,首先是上篇:盲点如下:...
757 天前 / Tasfa
一、实验目的1、模拟灰盒测试对模拟“定V”公司进行渗透测试攻击,最终目的是控制所有服务器及内网客户机,并进行后渗透测试攻击2、掌握科学的完整的渗透测试方法,本次实验采用PTES标准渗透测试方法,共7个阶段:(1)前期交互阶段(跳过)(2)情报搜集阶段(3)威胁建模阶段(4)漏洞分析阶段(5)渗透攻击阶段(6)后渗透攻击阶段(7)报告阶段3、熟练掌握metas...
757 天前 / 阿里聚安全
yahoo邮箱在九几年的时候,业务深受各种邮箱机器人的困扰,存在着大量的垃圾邮件,于是他们找到了当时仍在读大学的路易斯·冯·安(Luis von Ahn),并设计了经典的图形验证码,即通过简单的扭曲图形文字进行机器的识别。 通过这个简单的图形,他们很快的控制住了垃圾邮件的数量,并将大量的机器人据之门外。 但是即使验证码解决了垃圾邮件的问题,我们仍要提出一个...
757 天前 / elloop
*本文作者、Xdigger Framework开发者:guyoung Xdigger Framework是一款基于.Net Framework的网络安全测试辅助框架。Xdigger Framework采用插件框架模式开发,实现了系统框架和业务逻辑有效分离,系统更新比较简单,只需更新业务插件,不需要动整个框架,开发人员无需关心整个框架结构。 目前提供主要功能分...
757 天前 / jslygljy
web前端安全方面技术含有的东西较多,这里就来理一理web安全方面所涉及的一些问题。一、xss与sql攻击入门级的安全知识,攻击手段和防范方法这里略过,不过注意的是xss分存储型xss、反射型xss、mxss(dom xss),主要防范思路是检查验证要输入到页面上的内容是否安全。二、csrf入门级的安全知识,攻击手段和防范方法这里略过三、请求劫持与HTTPS...
757 天前 / 余年
如今手机已经成了我们离不开的伙伴和知己,它了解我们的日常生活。然而每一天在路上的时候,它都会收集我们的私密信息。平时我们会用它拍照,在社交网络中分享我们的心情;我们也用它发送邮件、短信以及拨打电话。所以,这些信息则让我们的智能手机成为黑客眼热的宝库。 普通用户的安全概念 最重要的是,我们中大多数人相信手机中的数据是绝对安全的。毕竟手机制造商曾向我们保证过,而...
757 天前 / wenq
Author: RickGray (知道创宇404安全实验室) Date: 2016-06-01 好像很久没发文了,近日心血来潮准备谈谈 “漏洞检测的那些事儿”。现在有一个现象就是一旦有危害较高的漏洞的验证 PoC 或者利用 EXP 被公布出来,就会有一大群饥渴难忍的帽子们去刷洞,对于一个路人甲的我来说,看得有点眼红。XD刷洞归刷洞,蛋还是要扯的。漏洞从披露...
757 天前 / 梅梅
一些受VISA HTTPS保护的站点,因为存在漏洞容易受到Forbidden攻击,有将近70,000台服务器处于危险之中。一种被称为“Forbidden攻击”的新攻击技术揭露许多HTTPS签证网站容易受到网络攻击,大约70,000台服务器处于危险之中。一群国际研究人员(Hanno Bck, Aaron Zauner, Sean Devlin, Juraj ...