2017 FreeSec沙龙 议题征集正

“FreeSec沙龙” 是由“青果安全” 主办,  “安全脉搏” 合作协办的免费安全沙龙,“FreeSec沙龙”旨在打造纯技术交流沙龙(目前是北京地区)。FreeSec沙龙暂定为一月一次,后期会调整为半月一次。   FreeSec沙龙的诞生 最近“我”在思考一个问题,“我”有多久没交新朋友了,每天都是两点一线的生活让我觉得异常枯燥。这让“我”产生了做一个长期沙龙的想法,是一个沙龙而不是大型安全盛...

安识科技安全团队诚聘安全研发

公司简介: 安识科技,是一家专注于账号安全、企业风险评估的技术型创新企业。 旗下拥有基于云+端的自研产品多因素令牌、基于互联网密码泄露查询的SaaS服务平台! 作为一支技术驱动型的创新创业团队,创始人均来自国内知名互联网企业安全负责人,深知企业安全痛点。我们推崇在开放、高效的环境中学习、激励和成长。 安全研发工程师 岗位职责: 1 、从事面向信息安全产品的研发及研究工作,实现部分安全日常工作自...

安全脉搏 专注于企业安全服务

一、你所不知道的安全脉搏 安全脉搏(SecPulse.com)致力于独家优质技术文章和安全报告分享,关注于业内高质量安全讯息及安全事件。 分享技术,悦享品质,关注安全是安全脉搏宗旨。 安全脉搏(service.secpulse.com)专注于为广大企业提供各式各样的安全服务,拥有安全脉搏WAF,GodTouch安全巡航感知系统等多款产品。 安全脉搏拥有专业核心白帽团队,还有SRC小分队,对外常年活...

Cacti监控系统注入漏洞引发的内网血案

前言: 安全是个整体,任何一个短板都会造成安全事故,从边界网络到IDC 运维网络再到办公网络,都是个整体每一处网络都不能忽视。 企业在为安全做了多层防护不是一个IDS,WAF,杀毒软件安全防护能搞定事,为何内网不堪一击,真有攻击发生时,这些防护策略能否觉察到攻击。   案例:注入到shell再到内网域控 整个事件起因是源自 Cacti 注入漏洞引起, Cacti Centreon企业服...

知其一不知其二之Jenkins Hack

本文首发安全脉搏 感谢大王叫我来巡山 的投递 转载请注明来源 大多安全工作者听到jenkins都会知道有个未授权的命令执行 但是如果Script页面要授权才能访问呢 或者你的用户没有Overall/RunScripts权限呢 抱着提出问题-->测试问题-->解决问题的思路有了这篇文章               &...
  • SSRF漏洞的挖掘经验

    SSRF概述 SSRF(Server-Side Request ...
  • 讲讲越权那些事

    简要 越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常...
  • 渗透测试中密码扫描与破解小结

    0x00 前言                 一次测试的过程总...
  • 高屋建瓴之WebMail攻与防

    本文首发安全脉搏 感谢千域千寻投递 转载请注明安全脉搏 0x01...
  • 最新文章

    今日更新0
    Web安全 详解XPath注入—安全小课堂第四十二期

    详解XPath注入—安全小课堂第四十二期

    XPath注入攻击主要是通过构建特殊的输入,这些输入往往是XPath语法中的一些组合,这些输入将作为参数传入Web 应用程序,通过执行XPath查询而执行入侵者想要的操作。本期邀请到JSRC白帽子恋锋为大家分享交流~ 关于分享者: 恋锋:JSRC白帽子,具备多年web及app安全测试经验,在代码安全审计领域有较深入的研究。 >>>1&l...
    国外资讯 Cellebrite公司被黑,900GB敏感数据已公布在网上

    Cellebrite公司被黑,900GB敏感数据已公布在网上

    Cellebrite是以色列一家专注于移动手机取证技术的公司,公司的主打产品是一种手机取证设备(UFED),这种设备可以获取多种型号手机里的短信内容,通话记录,浏览器历史记录,有时也能获得删除掉的数据。 在加州圣伯纳迪诺枪击案发生后,Cellebrite公司一直占据着Apple公司与FBI斗争的头条,更为讽刺的是Cellbrite被黑客攻击了。 Cellbrite泄漏900G...
    Web安全 点我的链接我就能知道你用了哪些chrome插件

    点我的链接我就能知道你用了哪些chrome插件

      咳咳,我知道干货一般阅读量会比较低,所以我借用了安全圈段子讲的最好的人惯用的漏洞标题风格。 由YSRC安全研究员evi1m0和neargle挖掘并编写poc,测试链接在文末。需要指出的是这是一个p(标)o(题)c(党),探测不全是正常的,本身就有很多插件不可以利用文中的方式探测,要不然就变成发chrome的0day了~ 0x01 About 编写过 Chrome ...
    数据泄露 美国电竞平台ESEA被黑,百万玩家数据泄露

    美国电竞平台ESEA被黑,百万玩家数据泄露

    ESEA这个名字可能很多人都没听说过,但是对CS玩家而言,那是再熟悉不过的了。ESEA是一个成立于2003年的老牌电竞娱乐组织,如今为V社的《CS:GO》、《CS》以及《军团要塞2》提供对战平台。 然而近日却传来了一个对于玩家非常不利的消息。美国大型三方电竞平台 ESEA 通过推特表示,曾在去年 12 月 30 日遭到黑客敲诈勒索攻击尝试,但他们拒绝支付黑客索要的十万美金赎金...
    专题 智能硬件分析-京东来点光波入网

    智能硬件分析-京东来点光波入网

    > 先知技术社区独家发表本文,如需要转载,请先联系先知技术社区授权;未经授权请勿转载。 > 先知技术社区投稿邮箱:Aliyun_xianzhi@service.alibaba.com; 前言 去年一次jd购物为了凑单花了6块钱买了个京东来点(一个类似亚马逊DashButton的小东西) 本来琢磨着反正这么便宜,改吧改吧可以当个无线门铃或者呼叫器,无奈一直没时间下...
    内网渗透 内网渗透的一些工具和平台汇总

    内网渗透的一些工具和平台汇总

    各位老司机在日常的渗透过程中,都会有自己趁手的工具集合,有开源的有私有的,不管什么样的工具组合,能够达到最佳的渗透效果就是好工具,老司机分享一点自己在内网渗透中惯用的开源工具和平台。  渗透测试平台类: Metasploit,这个大家都不陌生了,集信息收集,预渗透,渗透,后渗透,木马,社会工程学于一体的平台,居家旅行,杀人越货之必备。SET(Social-engineer-t...
    代码审计 谈一谈java代码审计—安全小课堂第四十一期

    谈一谈java代码审计—安全小课堂第四十一期

    安全小课堂第四十一期 Java因具有面向对象、平台独立与可移植性、多线程、动态性等诸多特点成为了主流的开发语言。但只要有代码的地方就有漏洞,PHP代码审计大家比较熟悉了,Java代码如何进行安全审计呢?本期邀请到孙爱萍小伙伴为大家分享Java代码审计。 关于分享者: 孙爱萍是京东高级安全工程师,有着多年的Java代码审计经验,参与京东代码安全审计平台建设。   >...
    国内资讯 先知安全技术社区原创文章奖励计划

    先知安全技术社区原创文章奖励计划

    【安全脉搏与先知安全技术社区正式达成内容合作伙伴关系,双方今后将在资源、高质量内容共享等方面展开深度合作。 在内容上相互分享,资源上相互补充,平台上相互助力,技术上相互支撑。共同推进互联网安全行业生态良性发展。】 亲爱的白帽子们,为了进一步提升先知社区技术交流的氛围和活跃度,先知技术社区特推出原创文章奖励计划,详细规则如下: 原创文章征集计划: 1、我们关注的原创文章类型:漏洞...
    逆向破解 流氓软件化身“卫士”  携带病毒对抗安全软件

    流氓软件化身“卫士” 携带病毒对抗安全软件

    一、 背景 近期我们接到用户反馈。刚刚装好的系统无法安装火绒安全软件,表现为:安装程序执行安装步骤到一半的时候,安装程序自己消失,除此以外浏览器首页也被恶意篡改。 通过定位问题,我们在用户计算机上提取了和中毒现象相关的八个病毒文件。 在进一步的分析中我们发现,提取的文件是一组病毒,并且和两个叫做“卫士”的软件有关联,分别是:“浏览器卫士”和“铠甲卫士”。 这个发现并不让我们感到...
    资讯 AVL Insight 开源情报工具:一站式情报管理服务

    AVL Insight 开源情报工具:一站式情报管理服务

    一、概要 AVL Insight 开源情报工具是安天移动安全公司推出的一款情报收集工具,它是配合AVL Insight移动威胁情报平台的Chrome浏览器扩展程序,用户可以使用该工具对网站中的公开信息进行收集整理,并对关键信息点进行结构化提取生成自定义情报,从而形成自己的公开情报库。 AVL Insight 开源情报工具基于移动威胁分析人员收集情报的需求而产生,以公开情报的收集...
    Web安全 聊一聊服务器的安全基线—安全小课堂第三十九期

    聊一聊服务器的安全基线—安全小课堂第三十九期

    安全基线,是为了明确网络上的相关设备与系统(包括操作系统、网络设备、数据库、中间件在内的所有类型的设备)达到最基本的防护能力要求而制定的一系列基准。本期我们来聊一聊服务器的安全基线。 本期邀请到网易安全专家沈明星。 豌豆妹 服务器常规的安全配置有哪些? 哆啦A梦 安全基线,是为了明确网络上的相关设备与系统(包括操作系统、网络设备、数据库、中间件在内的所有类型的设备)达到...
    逆向破解 [二进制安全]静态分析揭开Joanap木马的神秘面纱

    [二进制安全]静态分析揭开Joanap木马的神秘面纱

    先知技术社区独家发表本文,如需要转载,请先联系先知技术社区授权;未经授权请勿转载。 近期,出于对索尼电影的崇拜之心,本打算分析分析当年入侵索尼,造成索尼数十仇美金损失的木马样本,找到赛门铁克家报的名字为“Backdoor.Destover”的样本, Destover家族可是公开的当年攻击索尼影业的样本家族名字,谁知天不遂人意,发现我找到这个样本并不是传说中的Backdoor.D...

    不容错过

    最新推荐

    友情链接

    合作伙伴