安全脉搏

59

文章

0

积分

0

收藏

0

关注

2

粉丝

神器 神器 神器

至今.

2015-10-26
Web安全

Joomla 3.2 到 3.4.4 history.php注入漏洞到后台登陆 

概述: 漏洞出在核心模块,因此不需要任何扩展,所有使用joomla 3.2以上版本的站点,都受此漏洞影响 存在SQL注入的地方位于 /administrator /components /com_co…

2015-10-26
移动安全

移动APP安全测试要点 

移动APP安全测试要点 上次《 运营商渗透测试与挑战》中提到,随着运营商新技术新业务的发展,运营商集团层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等…

2015-10-25
CTF

ISG2015 Writeup 

Misc Welcome to ISG 2015 (50) 直接在网页源码中找到,em标签替换为下划线即可。 ISG{I<em>am</em>A<em>sW337&…

2015-10-13
Web安全

WordPress利用XMLRPC高效爆破原理分析 

  xmlrpc 是 WordPress 中进行远程调用的接口,而使用 xmlrpc 调用接口进行账号爆破在很早之前就被提出并加以利用。近日 SUCURI 发布文章介绍了如何利用 xmlrp…

2015-10-7
CTF

第六届西电信息安全大赛XDCTF2015 WriteUp 

比赛介绍 见安全脉搏:2015年第六届全国网络安全大赛(XDCTF) web1-100 坑。。 http://133.130.90.172/5008e9a6ea2ab282a9d646befa70d5…

2015-9-29
CTF

绿盟科技网络攻防赛NSCTF WriteUp 

NSCTF西北高校网络安全攻防大赛第一阶段线上赛落下帷幕,Azure以9350的高分暂居第一。大赛共吸引了1136名选手参加比赛,包括0ops成员、Insight-Labs成员、网络尖刀团队成员、cu…

2015-9-20
工具

XssSniper扩展介绍 

前言 一直以来,隐式输出的DomXSS漏洞难以被传统的扫描工具发现,而XssSniper是依托于Chrome浏览器的扩展,通过动态解析可以快速准确的发现DomXSS漏洞。 此外,本扩展不仅可以发现隐式…

2015-8-16
独家

企业安全实践经验分享 

摘要:信息安全飞速发展,企业安全建设更是让很多企业感到迷茫,作为甲方的一员,分享唯品会安全建设的一些心得体会。回顾发展历程,安全从无到有,从救火到业务不可或缺一环的转变过程,是什么促使形成这些改变。 …

2015-6-4
CTF

“强网杯”网络安全挑战赛writeup 

赛事简介: “强网杯”网络安全挑战赛是面向国内信息安全企业(团队)和高等院校的一次国家级网络安全赛事,旨在通过激烈的网络竞赛对抗,培养和提高国家网络安全保障能力和水平,发现网络安全领域优秀人才,提升全…

2015-5-28
资讯

64位Linux栈溢出教程 

  0x01 这一系列的文章目的在于快速介绍对缓冲区溢出(在64位下linux二进制程序)弱点的利用。 该系列教程适合人群为:熟悉利用32位二进制程序并想应用它们的知识来利用64位二进制程序…

2015-4-30
独家

第二届信息安全创意设计赛即将启动 

大赛引言 历史轮回,颠覆世界的时刻再次来临! 继“身边的信息安全”第一届信息安全创意赛圆满收声之后;第二届“互联网+”时代强势归来! 设计师只分为两类,一种是伟大,另一种是平庸!对!是伟大还是平庸?我…

2015-4-29
工具

NTDS.dit密码快速提取工具 

NTDSDump相关 受不了NTDSXTract的龟速,于是用quarkspwdump改了个能读取system.hiv的离线版提取工具,顺便修复了个坑爹的BUG。 ntds.dit其实就是个esent…

2015-4-28
Web安全

WordPress < 4.1.2 存储型XSS分析与稳定POC 

Wordpress这个XSS实际上是很好用的,匿名用户即可发表并触发,这里给出简单的分析与稳定的好触发的POC。 其实漏洞的作者已经在文章(https://cedricvb.be/post/wordp…

2015-4-28
Web安全

WordPress 4.2 存储型XSS 

概述   包括最新版本的WordPress都存在评论处的存储型XSS。攻击者可以未授权通过WordPress的评论注入JavaScript攻击代码。 评论被查看的时候,JavaScript就…

2015-4-19
安全报告

MS15-034/CVE-2015-1635 HTTP远程代码执行漏洞分析 

前言 在4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.…