-
1、什么是栈溢出?溢出是个古老而经典的话题,栈溢出是指在栈内写入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。为了实现栈溢出,要满足两个条件,第一,程序要有向栈内写入数据的行为;第…
-
什么是CSRF?CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/X…
-
CVE-2018-1270 Remote Code Execution with spring-messaging
影响版本Spring Framework 5.0 to 5.0.4Spring Framework 4.3 to 4.3.14漏洞分析Spring Framework通过spring-messagei…
-
世界上有一群人,互联网对于他们来说就是提款机。是的,过去是,现在更是,因为电子货币的出现,他们提款的速度变得更疯狂。在2017年,我们的蜜罐监测到一起针对以太坊的全球大规模攻击事件,我们将其命名为以太…
-
PART 1. 安全第一修复漏洞的最佳时机便是开发的时候。1.1 CSRF TOKENCSRF TOKEN是Django安全体系中的一项非常重要的安全措施。但是很多情况下,一些刚刚接触Django的同…
-
为了深入挖掘bug奖励计划范围内的各种漏洞,很有必要对于那些最终用户不可见的功能进行安全测试。例如,支付webhooks就是这样的一个例子,支付提供商(如Stripe或Braintree)使用它来向网…
-
-
PART 1. 开始之前 Django 作为一款功能强大的Web应用框架,近年来逐步受到大家的欢迎,越来越多的Python开发者投入到&nb…
-
在渗透的侦查踩点阶段,进行全面的信息收集对后面实施渗透的尝试尤为重要。通过子域名爆破、搜索引擎查询等方式收集目标资产信息之外,对于开放443端口HTTPS服务的网站,我们可通过HTTPS证书来收集子域…
-
1.背景开始渗透一个网站前,需要知道网站的网络资产:域名、IP等,而IP和域名有着直接的解析关系,所以如何找到网站所有子域名是关键。2.实现思路在知道网站主域名的情况下,可以通过以下几种方式进行域名收…
-
1 GandCrab勒索软件概述近日,一款勒索达世币(DASH)的勒索软件GandCrab被发现,其为首个勒索比特币以外的虚拟货币的勒索软件,安天安全研究与应急处理中心(安天CERT)迅速对其展开分析…
-
近日,360云安全系统发现一款名为“诡娃”的远控木马,正通过钓鱼软件、网页挂马等多渠道扩散。“诡娃”除了能进行操控中招电脑等行为外,还会通过控制指令让中招机器弹出惊悚的鬼怪flash动画,再加上动画里…
-
目标资产信息搜集的程度,决定渗透过程的复杂程度。目标主机信息搜集的深度,决定后渗透权限持续把控。渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。----Micropoor文章将连…
-
隐藏在Chrome插件商店中的恶魔——恶意插件User-Agent Swither分析
0x00 插件背景—User-Agent Swither 是一款Chrome插件,用户切换访问web时候的User-Agent的,这个插件有51万条安装量。大部分都是前端工作人员或者安全研究人员使用,…
2018-05-05
2018-03-30
2018-03-28
2018-03-22
2018-03-17
2018-01-30
2018-01-19
2018-01-13
2018-01-12
2018-01-09
2017-12-21
2017-12-14
2017-11-28
2017-11-25
2017-11-18
关注我们
