安全报告

安全报告 白帽时鉴期刊第一期

白帽时鉴期刊第一期

《白帽时鉴期刊》是一期由安全文库团队牵头策划并联合多个安全团队联合推出的,一本面向信息安全领域的计算机技术类刊物。 在此之前,在信安领域就曾出版过多种多样的安全期刊,例如《黑客防线》、《黑客手册》、《黑客X档案》等一批优秀刊物,这些刊物可以说在当时影响了一代人。 时过境迁如今的圈子早已不比当年,安全圈愈发显得浮躁…但前辈们的精神我们还得继续传承。我们的每一步其实都是站在巨人的肩...
安全报告 老司机奇淫渗透测试让网站给自己发管理员账号密码

老司机奇淫渗透测试让网站给自己发管理员账号密码

本文《老司机奇淫渗透测试让网站给自己发管理员账号密码》由armyzer0团队原创投稿安全脉搏,作者老司机,安全脉搏SecPulse.Com独家发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 团队 一枚 老司机的奇葩司机思路,发出来让大家看看 他到底有多老司机! 对他老司机这一件事,我能怎么办,我也很绝望呀! 我和大家一样看文章以前 都是一枚不明真相的吃瓜土狗...
专题 渗透测试中的Bypass技巧(I)之架构层绕过WAF

渗透测试中的Bypass技巧(I)之架构层绕过WAF

本文《渗透测试中的Bypass技巧(I)之架构层绕过WAF》由一叶知安团队原创投稿安全脉搏,作者:倾旋,安全脉搏发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 0x00 前言 许多朋友在渗透测试中因为遇到WAF而束手无策,本人应邀,与godkiller一同写下此文,希望能够对许多朋友的问题有所帮助。 此系列一共分为五篇文章,分别如下: 架构层绕过WAF CD...
安全报告 2016年Android恶意软件专题报告

2016年Android恶意软件专题报告

摘 要 2016年全年,360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个,平均每天新增3.8万恶意程序样本。 2016年全年,从手机用户感染恶意程序情况看,360互联网安全中心累计监测到Android用户感染恶意程序2.53亿,平均每天恶意程序感染量约为70万人次。 根据移动端恶意程序感情况,经历2012-2014三年的高速增长期,2016年首次停...
安全报告 百度旗下网站暗藏恶意代码——劫持用户电脑疯狂“收割”流量

百度旗下网站暗藏恶意代码——劫持用户电脑疯狂“收割”流量

本分析报告pdf版本下载:http://t.cn/RitHJky 一、概述 经火绒安全实验室截获、分析、追踪并验证,当用户从百度旗下的http://www.skycn.net/和 http://soft.hao123.com/这两个网站下载任何软件时,都会被植入恶意代码。该恶意代码进入电脑后,会通过加载驱动等各种手段防止被卸载,进而长期潜伏,并随时可以被“云端”远程操控,用来劫...
安全报告 安天移动安全&中国电信云堤联合报告《Dark Mobile Bank之钓鱼篇》

安天移动安全&中国电信云堤联合报告《Dark Mobile Bank之钓鱼篇》

一、威胁趋势 在信息安全链条中,技术、管理等因素极大威胁着信息安全,而人为因素则是其中最为薄弱的一个环节。 正是基于这一点,越来越多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。 利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。 网络钓鱼是社会工程学的一种形式,也是信息安全威胁中最久远、最常见的一种攻击方式。网络钓鱼历史悠久,其主要发展历程...
Web安全 【漏洞公告】Node.js反序列化远程代码执行漏洞通告CVE-2017-5941

【漏洞公告】Node.js反序列化远程代码执行漏洞通告CVE-2017-5941

Node.js爆出反序列化远程代码执行漏洞,该漏洞详情如下: 1、综述 Node.js是一个Javascript运行环境(runtime)。实际上它是对Google V8引擎进行了封装。V8引擎执行Javascript的速度非常快,性能非常好。Node.js对一些特殊用例进行了优化,提供了替代的API,使得V8在非浏览器环境下运行得...
国外资讯 一种远程检测用户杀软的简单方法

一种远程检测用户杀软的简单方法

Windows7是我经常工作使用的操作系统,为了进一步保证安全性,我安装了卡巴斯基网络安全反病毒软件。有一天,我在一个网页中发现一段有趣的代码,然而这段代码本身并不应该出现在这样的网页中。 为什么 FaceBook 的网站嵌入了卡巴斯基站点的js文件?我马上意识到,我所安装的杀软(卡巴斯基)针对https进行了类似中间人攻击(MITM)的行为,并在当前活动的页面中注入了它自己...
安全报告 方程式组织EQUATION DRUG平台解析(提纲) —方程式组织系列分析报告之四

方程式组织EQUATION DRUG平台解析(提纲) —方程式组织系列分析报告之四

安天安全研究与应急处理中心(Antiy CERT) 报告初稿完成时间:2017年1月13日 16时00分 首次发布时间:2017年1月16日 10时00分 本版本更新时间:2017年1月17日 8时30分 1  背景   对于“方程式组织”,在过去的两年中,安天已经连续发布了三篇分析报告:在《修改硬盘固件的木马——探索方程式(EQUATION)组织的攻击组件》[...
安全报告 国内某知名应用市场遭仿冒,EvilPea病毒也玩起O2O

国内某知名应用市场遭仿冒,EvilPea病毒也玩起O2O

近期, 某社交应用正式推出了LBS+AR天降红包,用户需要在指定地理位置开启摄像头,就能抢到对应的红包,这种线上结合线下抢红包的模式称为O2O(online to offline)抢红包。 近两年O2O火爆整个互联网圈,各类O2O产品服务层出不穷,比如O2O美甲、O2O剃须、O2O理发,甚至你想洗脚,都有人上门给你服务! 不料,病毒开发者也来蹭O2O的热点,将线上攻击与线下攻击...
安全报告 ATM恶意软件PLOUTUS的新变体Ploutus-D分析报告

ATM恶意软件PLOUTUS的新变体Ploutus-D分析报告

简介 Ploutus是过去几年中最先进的ATM恶意软件系列之一。 2013年Ploutus第一次在墨西哥被发现,犯罪分子(攻击者)通过发送SMS短信或者使用外部键盘连接到机器,操作ATM系统窃取现金,这是一种从没出现的技术。 近期,Ploutus的新版本Ploutus-D出现了,这是一款可以与KAL(ATM软件提供商)的Kalignite软件平台(多供应商ATM平台)相互作用的...
Web安全 详解XPath注入—安全小课堂第四十二期

详解XPath注入—安全小课堂第四十二期

XPath注入攻击主要是通过构建特殊的输入,这些输入往往是XPath语法中的一些组合,这些输入将作为参数传入Web 应用程序,通过执行XPath查询而执行入侵者想要的操作。本期邀请到JSRC白帽子恋锋为大家分享交流~ 关于分享者: 恋锋:JSRC白帽子,具备多年web及app安全测试经验,在代码安全审计领域有较深入的研究。 >>>1<...
安全报告 病毒四度升级:安天AVL Team揭露一例跨期两年的电信诈骗进化史

病毒四度升级:安天AVL Team揭露一例跨期两年的电信诈骗进化史

自2014年9月起,安天AVL移动安全团队持续检测到一类基于Android移动平台的间谍类病毒,病毒样本大多伪装成名为“最高人民检察院”的应用。经过反编译逆向分析以及长期的跟踪调查,我们判断这可能是一起有组织的电信诈骗犯罪活动。 2014年9月至今,某诈骗组织持续以涉嫌犯罪为由恐吓受害者,并进行电信诈骗活动。整个诈骗流程大致如下:攻击者首先向受害者的手机发送含恶意应用下载链接的...
安全报告 《安全档案》第二期

《安全档案》第二期

这一期《安全档案》给大家带来了有关于安卓、浏览器安全、逆向工程、WEB安全的一系列文章,在此再次感谢支持我们的读者们与作者们! 安全脉搏作为爱安全合作伙伴,每期安全档案都会协助发布更新。第一期参见:安全档案(第一期)》:逆向工程与WEB安全 预览: 下载 《安全档案(第二期)》下载 脉搏贴心的送出百度盘链接: http://pan.baidu.com/s/1o84eia2 密...
安全报告 国外公开渗透测试报告锦集分享

国外公开渗透测试报告锦集分享

前言: 在PTES(渗透测试执行标准)中,把渗透测试分成了七个主要的过程,也就是说现在通常说的前期交互、目标识别、信息收集、漏洞分析、漏洞利用、后渗透测试、报告编制这七大步骤。 也许你很强势的完成了测试任务,获取了测试权限。但在纠结安全渗透测试报告不会写?来看看人家老外团队是怎么完成精美的总结报告吧。 项目介绍: 这个是juliocesarfort收集了几个咨询公司和学术组织发...

不容错过

友情链接

合作伙伴