yuyang
安全脉搏

23

文章

0

积分

0

收藏

0

关注

5

粉丝

安全脉搏编辑~

至今

2017-4-10
数据泄露

方程式 eqgrp-auction-file.tar.xz.gpg 文件已解 

十几个小时前,Shadow Brokers 把从 NSA 那盗来的方程式组织相关文件剩下的 eqgrp-auction-file.tar.xz.gpg 文件密码公布了: CrDj"(;Va.*Ndln…

2017-3-29
Web安全

MySQL Order By 注入总结 

前言 最近在做一些漏洞盒子后台项目的总结,在盒子众多众测项目中,注入类的漏洞占比一直较大。其中Order By注入型的漏洞也占挺大一部分比例,这类漏洞也是白帽子乐意提交的类型(奖金高、被过滤概览小)。…

2017-3-16
Web安全

CSRF Attack Details 

原文:CSRF Attack Details 作者:familyld    安全脉搏编辑整理发布 配置 软件:Vmware Workstation 12 Player 系统:SEEDUbuntu12.…

2017-3-15
移动安全

Android 渗透测试学习手册(七)不太知名的 Android 漏洞 

前言 上一章节讲述了《Android 渗透测试学习手册玩转 SQLite》,这一张继续讲解不太知名的 Android 漏洞 在本章中,我们将了解一些不太知名的 Android 攻击向量,这在 Andr…

2017-3-3
移动安全

Android 渗透测试学习手册(六)玩转 SQLite 

前言 上文讲述了《正文 Android 渗透测试学习手册(五)Android 取证》,本章我们讲继续讲述 Android 渗透测试学习的玩转 SQLite SQLite 是一个开源数据库,具有许多类似…

2017-3-3
移动安全

Android 渗透测试学习手册(五)Android 取证 

前言 上文讲述了《Android 渗透测试学习手册(四)对 Android 设备进行流量分析》,本章我们讲继续讲述 Android 渗透测试中的Android 取证 5.1 取证类型 取证是使用不同的…

2017-2-27
移动安全

Android 渗透测试学习手册(四)对 Android 设备进行流量分析 

前言 上文讲述了《Android 渗透测试学习手册(三)Android 应用的逆向和审计》在本章中,我们将研究 Android 设备的网络流量,并分析平台和应用程序的流量数据。 通常应用程序会在其网络…

2017-2-24
移动安全

Android 渗透测试学习手册(三)Android 应用的逆向和审计 

前言 上文讲述了《Android 渗透测试学习手册(二)准备实验环境》在本章中,我们将查看 Android 应用程序或 .apk 文件,并了解其不同的组件。 我们还将使用工具( 如 Apktool,d…

2017-2-24
移动安全

Android 渗透测试学习手册(二)准备实验环境 

前言 在上一章《Android 渗透测试学习手册(一)Android 安全入门》中,我们了解了 Android 安全性及其体系结构的基础知识。 在本章中,我们将了解如何建立 Android 渗透测试实…

2017-2-24
移动安全

Android 渗透测试学习手册(一)Android 安全入门 

摘要:Android 是当今最流行的智能手机操作系统之一。 随着人气的增加,它存在很多安全风险,这些风险不可避免地被引入到应用程序中,使得用户本身受到威胁。 我们将在本书中以方法论和循序渐进的方式来讨…

2017-2-21
代码审计

2017“百度杯”二月第二周Write Up 

1,爆破一 限制了只允许数字字母下划线 利用超全局变量 $GLOBALS 获得FLAG   2,爆破二 很明显的代码注入 获得FLAG 3,爆破三 SESSION nums需要>=10…

2017-2-17
代码审计

本地文件包含漏洞利用技巧 

0x00 前言 本文的主要目的是分享在服务器遭受文件包含漏洞时,使用各种技术对Web服务器进行攻击的想法。 我们都知道LFI漏洞允许用户通过在URL中包括一个文件。在本文中,我使用了bWAPP和DVW…

2017-2-17
业务安全

渗透测试中的LLMNR/NBT-NS欺骗攻击 

简介  LLMNR&NBT-NS 欺骗攻击是一种经典的内部网络攻击,然而由于一方面了解它的人很少,另一方面在Windows中它们是默认启用的,所以该攻击到现在仍然是有效的。在本文中,我们首先为读者解释…

2017-2-13
系统安全

QEMU高危漏洞可执行任意代码 影响国内多家公有云平台 

360GearTeam的安全研究员李强(360信息安全部)发现QEMU的VGA设备CirrusCLGD 54xx VGA中存在一个严重的内存越界访问读写漏洞,该漏洞可以造成宿主机层面的任意代码执行,该…

2017-2-11
Web安全

【漏洞公告】Node.js反序列化远程代码执行漏洞通告CVE-2017-5941 

Node.js爆出反序列化远程代码执行漏洞,该漏洞详情如下:1、综述Node.js是一个Javascript运行环境(runtime)。实际上它是对Google V8引擎进行了封装。V8引擎执行Jav…