最新文章

今日更新2
人物志 阿里“先知”:白帽子的日常与信仰

阿里“先知”:白帽子的日常与信仰

“先知”是什么?” 在《圣经》中,先知摩西高举手杖,在波涛汹涌的红海中打开一条通路,带着以色列人走出埃及,前往应许之地;在网络游戏中,先知身处战场的远端,于股掌之间操控着风云变幻的战局。 在安全圈,也有着这样的“先知”:先知不是某一个人,而是一群白帽子。他们是互联网安全的观察者,静静地发掘着每一个潜在的危机。 以一行行代码作为手中的法杖,他们引领着互联网走在更安全、更开放的道路...
国内资讯 四叶草安全新品发布,开启安全行业“人工智能”新时代

四叶草安全新品发布,开启安全行业“人工智能”新时代

四叶草安全新品发布,开启安全行业“人工智能”新时代 2016年6月25日,四叶草安全于西安举办了“感洞”BugFeel的产品发布会,到场的嘉宾有来自中国信息安全测评中心、陕西省委网信办、陕西省通信管理局等政府部门领导,以及行 业内知名大牛和数十家媒体! 来自陕西省通讯管理局的尚凯瑛局长在此发表了精彩的讲话,并呼吁西部的同行共同为网络安全出一份力! 来自中国信息安全产业商会信...
专题 漏洞检测的那些事儿

漏洞检测的那些事儿

好像很久没发文了,近日心血来潮准备谈谈 “漏洞检测的那些事儿”。现在有一个现象就是一旦有危害较高的漏洞的验证 PoC 或者利用 EXP 被公布出来,就会有一大群饥渴难忍的帽子们去刷洞,对于一个路人甲的我来说,看得有点眼红。XD 刷洞归刷洞,蛋还是要扯的。漏洞从披露到研究员分析验证,再到 PoC 编写,进而到大规模扫描检测,在这环环相扣的漏洞应急生命周期中,我认为最关键的部分应该...
Web安全 CSV Injection Vulnerability

CSV Injection Vulnerability

0x01 概述 现在很多应用提供了导出电子表格的功能(不限于 Web 应用),早在 2014 年 8月 29 日国外 James Kettle 便发表了《Comma Separated Vulnerabilities》文章来讲述导出表格的功能可能会导致注入命令的风险,因为导出的表格数据有很多是来自于用户控制的,如:投票应用、邮箱导出。攻击方式类似于 XSS :所有的输入都是不可...
移动安全 Android安全开发之ZIP文件目录遍历

Android安全开发之ZIP文件目录遍历

1、ZIP文件目录遍历简介 ZIP压缩包文件中允许存在“../”的字符串,攻击者可通过精心构造ZIP文件,利用多个“../”从而改变ZIP包中某个文件的存放位置,覆盖替换掉应用原有的文件。 如果被覆盖掉的文件是是可.so文件、dex文件或者odex文件,轻则产生本地拒绝服务漏洞,影响应用的可用性,重则可能造成任意代码执行漏洞,危害应用用户的设备安全和信息安全。 比如“寄生兽”漏...
人物志 京东安全第一人李学庆讲述:如何保卫 618

京东安全第一人李学庆讲述:如何保卫 618

如果你是一位京东的新员工,那么你要小心了。 当你打开自家企业的BBS,很可能看到一个帖子,提示点击进去就可以领取京东内部福利。 当你的工作邮箱收到一封邮件,提示你密码已经过期,需要你使用旧密码重置。 没错,你遇到了骗子。你登陆了虚假的“钓鱼网站”,把信息泄露给骗子。然而剧情在此刻华丽反转,这个“骗子”居然是京东自己的安全部门。如果你不幸上当,等待你的是被关进“小黑屋”,...
专题 2016 MOSEC移动安全技术峰会蓄势待发

2016 MOSEC移动安全技术峰会蓄势待发

第一届MOSEC移动安全技术峰会由盘古团队和POC主办,于2015年6月5日在中国上海朗廷酒店顺利举行。峰会历时一天,分享七个移动安全领域前沿性的技术议题,覆盖iOS、Android、Windows三大移动平台,创造了15天售空所有入场券的佳绩。峰会当天高质量的安全技术信息分享,赢得了与会者及业内的一致好评。  第二届MOSEC移动安全技术峰会时间定于201...
工具 中国菜刀20160620初体验

中国菜刀20160620初体验

6月17号,某牛在朋友圈发了消息: 史上最牛逼的中国菜刀即将发布,过市面上所有的 waf,而且把 webshell 玩到让你瞠目结舌的境界 当时有消息称 6 月底将会发布新版菜刀。 果不其然,在 6 月 20 日,原本已经关闭的 maicaidao.com 又开放了,而且下载量瞬间就到了 660 +。 话不多说,赶紧去下载一个体验一波到底有多牛逼。 文章发布时站点又关闭了,具...
工具 渗透测试神器Burp Suite v1.7.03

渗透测试神器Burp Suite v1.7.03

众所周知,Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析,到寻找和利用安全漏洞等过程,所有工具为支持整体测试程序而无缝地在一起工作。 平台中所有工具共享同一robust框架,以便统一处理HTTP请求、持久性、认证、上游代理、日志记录、报警和可扩展性。Burp Suite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序...
Web安全 谈谈我是如何正确使用验证码

谈谈我是如何正确使用验证码

验证码(CAPTCHA) 是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,是一种区分用户是计算机还是人的公共全自动程序。可以防止:恶意破解 密码、刷票、论坛灌水。由于计算机无法解答CAPTCHA的问题,所以回答出问题的用户就...
招聘 武汉安晋达科技招聘安全开发工程师

武汉安晋达科技招聘安全开发工程师

公司简介: 武汉安晋达科技有限公司,位于武汉市南湖文化创意产业园---武汉创意天地,公司自创办以来一直秉承积极奋斗,开拓创新的精神,致力于网络信息安全领域的技术研究、及产品开发。目前正处于高速发展期,团队成员都是朝气蓬勃的年轻人,诚邀有识之士加入我们,一起共创辉煌篇章。 岗位职责: 1、完成软件系统代码的实现,编写代码注释和开发文档; 2、辅助进行系统的功能定义,程序设计; 3...
文章 ImageMagick 另一个命令执行

ImageMagick 另一个命令执行

##心情杂谈 哎哎哎,老司机一言不合就爆洞啊,这个洞在之前分析CVE-2016-3714的时候也发现了,结果被捂烂了…心塞塞~那我就写一下当时是怎么发现怎么这个洞… ##漏洞分析正文 之前在分析CVE-2016-3714的时候想,system()函数处理有问题,那么其他类似的有哪些函数呢? 下面是一个可以执行命令的函数列表: system() popen() fo...
专题 选择在不同的维度做防御

选择在不同的维度做防御

选择在不同的维度做防御 攻击的方法千千万万,封堵同一个安全风险的防御方法往往不止一种,如何选择性价比最高的手段是甲方安全从业者需要权衡的。 技术实现维度场景 在纵深防御的概念中企业安全架构是层层设防,层层过滤的,常见漏洞如果要利用成功需要突破几层限制,所以退一步对防御者而言有选择在某一层或某几层去设防和封堵的便利,比如SQL注入,治本的方法当然是代码写对,治标的方法WAF过滤,...

不容错过

最新推荐

友情链接

合作伙伴

Qrcode