安全知识

admin 12年前 (2013-09-21) 2075浏览 0评论

本文关注的是世界著名的黑客组织Anonymous（匿名者）。“我将描述他们的攻击方法和方式的计划,但我们将聚焦更多关于他们使用武器或工具。”Anonymous这个词仅仅意味着没有名字的匿名或身份，该组织是一个派系的匿名黑客或黑客活动分子。 他们有...

admin 12年前 (2013-09-21) 1585浏览 0评论

1、前言 1.1 什么是DOM XSS DOM-based XSS是一种基于文档对象模型（Document Object Model，DOM)的XSS漏洞。简单理解，DOM XSS就是出现在JavaScript代码中的漏洞。与普通XSS不同的是，DO...

admin 12年前 (2013-09-17) 1582浏览 0评论

Peter Lee 2008-04-20   一、字节序 来自：http://ayazh.gjjblog.com/archives/1058846/ 谈到字节序的问题，必然牵涉到两大CPU派系。那就是Motorola的PowerPC系列CPU和Int...

admin 12年前 (2013-09-09) 7749浏览 5评论

菜菜面临就业,有一天看到一个发布就业信息的网站,就萌生了脱它裤子的想法,说干就干,没想到引出一段曲折的过程。 1.主站突破 第一步先扫下端口，发现开放端口80和3389,登录3389发现是win2003。 查无注入点，而且发现网站自定义了错误页面 ...

admin 12年前 (2013-09-07) 2016浏览 1评论

2013/09/06 13:26 | gainover | 业界资讯 | 占个座先 经常听到“搞安全的圈子”这个词，那么安全的这个圈子有多大呢？哪些人是活跃在线上，正在搞安全的呢？ 笔者也想知道这个问题的答案，于是做了点有意思的小测试，写下本文。 ...

admin 12年前 (2013-09-06) 2755浏览 2评论

0x00 背景 邮箱伪造技术，可被用来做钓鱼攻击。 即伪造管理员或者IT运维部等邮箱发邮件，获取信任使对方打开附带的木马文件或者回复想要获取的敏感资料等。   0x01 细节 SMTP协议中,允许发件人伪造绝大多数的发件人特征信息。...

admin 12年前 (2013-09-06) 1660浏览 0评论

APT攻击是近几年来出现的一种高级攻击，具有难检测、持续时间长和攻击目标明确等特征。本文中，小编带你细数一下近年来比较典型的几个APT攻击，分析一下它们的攻击过程。   Google极光攻击 2010年的Google Aurora(极光)攻...

admin 12年前 (2013-09-04) 2535浏览 0评论

Wi-fEye是一款自动无线渗透测试工具，由python编写。通过这款工具，安全测试人员可以快速和轻松的对wifi网络进行渗透测试。 特性：   1.破解模块: 可用于破解wifi密码，如WEP , WPA或WPA2 Enable mon...

admin 12年前 (2013-08-28) 2401浏览 0评论

Mozilla 推出了 FuzzDB 开源项目，这是一个用于对应用程序进行 Fuzz 安全测试的攻击模式和发现模式数据库，也就是一个包含了各种安全攻击模式的测试用例集合。其中包括可用于识别特殊的服务器响应和文档资源的攻击模式、可预 测的资源名称、正则...

admin 12年前 (2013-08-26) 2526浏览 0评论

有另一种方法可以跟踪用户而不使用cookies或Javascript。这种方法 已经被用于无数网站，但几乎没人人们知道。本页解释这种方法是如何运作的，以及是如何保护你自己的。 这种跟踪方式 无需使用: Cookies Javascript Loca...

admin 12年前 (2013-08-24) 1865浏览 0评论

它们游离在法律边缘，但影响着普通用户的网络环境，甚至参与制定地上规则 阑夕 2013-04-09 07:05 前阿里巴巴集团高级安全专家 @aullik5 曾在其微信公众帐号“道哥的黑板报”上分享了一则关于“黑客”的故事，文章颇具传奇小说的风格，不少...

admin 12年前 (2013-08-24) 2123浏览 1评论

最近乌云社区里有位童鞋发了一个帖子： 说一个域名不知道用了什么手法居然绑定了李毅吧的url，既不是301重定向，也不是域名跳转，也不是域名转发。访问 www.liyiba.com 这个域名感觉李毅吧仿佛单独成立了一个网站一样！而且这个域名的权重居然涨...

admin 12年前 (2013-08-22) 2081浏览 0评论

较老的漏洞了，今儿扒拉出来晒晒吧：) 以下内容来至：大风 今天要讲的这个漏洞是一个非常猥琐的漏洞。 大部分网站都有这个漏洞，不光是百度。 什么是xsio xsio是因为没有限制图片的position属性为absolute，导致可以控制一张图片出现在网...

admin 12年前 (2013-08-21) 1945浏览 2评论

直到最近为止，对拥有数之不尽的独立地址的互联网进行整体扫描还是一种非常缓慢而“劳动密集型”的过程。举例来说，有人曾使用nmap进行过一次扫描，想要搜集有关加密技术在线使用量的数据。其结果是，这一过程足足花了两三个月时间。 密歇根大学研究人员觉得，他...

admin 12年前 (2013-08-20) 2270浏览 1评论

最近几年，各种对网站安全防护的免费产品风起云涌，单机版的就算安全狗，在线的就多了安全宝啊，360网站卫士啊，云盾啊，DNSPOD都集成宝宝了，搞得很多黑客的菜刀连接不上，于是各种大法出来了。 这几天看了些文章，做个整理。 第一种，各种分号 /;.sh...

admin 12年前 (2013-08-19) 2232浏览 0评论

作者：valiant、jamy 一、项目背景 图1.1 常见的图像识别应用 本项目提出的图像算法主要解决如下问题：在移动设备实时获取图像的过程中，让算法自动决定何时进行图片发送请求、何时中断发送请求，并将此策略用在实时的图像检索应用中。 目前的...

admin 12年前 (2013-08-14) 2350浏览 0评论

许多网站也存在同样的问题，hash算法过于简单，导致轻易就能被破解。 详细说明：首先重置下密码，收到了一封邮件，重置密码地址是： http://tuchong.com/account/reset/?code=1372415571&sign=...

admin 12年前 (2013-08-02) 2577浏览 1评论

我记得这个漏洞在12年的时候，国内的资料还很少，当时遇到之后来回找资料，但是国内当时在网上能看到的资料只有2篇，但我忘记是哪2篇了，不过手上是有2篇比较早的资料，先传上来做个引题吧。 《ms10-070(ASP.NET Padding Oracle ...

admin 12年前 (2013-07-29) 2470浏览 1评论

preg_replace函数原型： mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) 特别说明： /e 修 正符使 preg_rep...

admin 12年前 (2013-07-29) 2704浏览 1评论

几天前，我们研究团队的 Peter Gramantik 在一个被攻破的网站上发现一个非常有趣的后门。这个后门并没有依靠正常模式去隐藏起内容（比如 base64/gzip 编码），但是它却把自己的数据隐藏在 JPEG 图片的 EXIT 头部中了。它也使...