欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 换个角度看看,为什么钓鱼攻击总能成功
  • 当我第一次收到银行发来的“安全”邮件时,我第一反应就是这里是否有诈?因为在我看来,它实在是太像钓鱼邮件了。这封躺在收件箱里的邮件来源于我银行经理的个人邮箱地址,而非Chase银行的官方邮箱。邮件中不仅附带......
  • 所属分类:WEB安全 更新时间:2017-05-28 相关标签: 阅读全文...
  • 如何通过IE11浏览器跨域窃取CSV文件信息
  • 写在前面的话 早在2008年,Chris Evans就发现了通过在标签中添加恶意参数来跨域窃取Firefox数据的可能性。如果你感兴趣的话,你现在仍然可以阅读当初他所发表的那篇研究报告【传送门】。 他曾在报告中解释......
  • 所属分类:WEB安全 更新时间:2017-05-25 相关标签: 阅读全文...
  • 如何高效利用你所“劫持”的HTTP会话?
  • HTTP会话劫持 HTTP是无状态的协议,为了维持和跟踪用户的状态,引入了Cookie和Session,但都是基于客户端发送cookie来对用户身份进行识别,所以说拿到了cookie,就可以获得victim的登录状态,也就达到了会话劫持的效......
  • 所属分类:WEB安全 更新时间:2017-05-24 相关标签: 阅读全文...
  • 针对亚马逊云存储器S3 BUCKET的渗透测试
  • 在我的最后一篇关于AWS渗透测试的文章中,我们讨论了一个渗透测试者在获取云服务器凭据后能做些什么。而在本文中,我将通过一个AWS的实例让大家看到即使没有获取相关凭据,我们依然可以利用其潜在的安全漏洞,来成功......
  • 所属分类:WEB安全 更新时间:2017-05-24 相关标签: 阅读全文...
  • Web开发者安全速查表
  • 想要开发出一个安全的、健壮的Web应用其实是非常困难的,如果你觉得这实现起来非常简单的话,那么你一定是一个X炸天的程序猿,要么你就是在白日做梦…… 写在前面的话 如果你觉得你可以在一个月之内开发出一款集......
  • 所属分类:WEB安全 更新时间:2017-05-24 相关标签: 阅读全文...
  • 常见网络攻击--XSS && CSRF
  • XSS XSS全称跨站脚本攻击(Cross Site Scripting),顾名思义,就是通过向某网站写入js脚本来实现攻击。如果熟悉或了解SQL注入的话,这么一说大概就十分清楚了。 如果是刚接触web开发的同学,可能乍想不明白,自己的......
  • 所属分类:WEB安全 更新时间:2017-05-23 相关标签: 阅读全文...
  • 被忽视的Web安全漏洞:如何识别和解决?
  • 在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。 在各种类型和规模的企业中,有些网络安全人员(包括CIO和其他高管)称他们会定期扫描其网站和应用。有些人称他们的应......
  • 所属分类:WEB安全 更新时间:2017-05-23 相关标签: 阅读全文...
  • XSS 和 CSRF 攻击的一些非常规防御方法
  • 一说到安全,大家总会特别敏感,尤其是有相当部分的前端开发者并不了解安全相关的知识,颇有谈虎色变的感觉。具体到前端安全这个话题呢,又有些说不清道不明,因为大部分的防御方案,总少不了后端的参与,也有开发者......
  • 所属分类:WEB安全 更新时间:2017-05-23 相关标签: 阅读全文...
  • 挖洞经验|看我如何挖到了一个价值5K刀的谷歌“404页面”
  • 大家别慌,这是一篇很短的文章…文章虽短,但希望能给大家日常挖洞带来灵感或启发! 在今年一月份的某一天,作为一个非常喜欢搞事情的人,当时的我正在尝试寻找Google服务中可能存在的安全问题,如果能够找到满足......
  • 所属分类:WEB安全 更新时间:2017-05-22 相关标签: 阅读全文...
  • 一个简单的分布式Web扫描器的设计与实践
  • 作为一个安全从业人员,在平常的工作中总是需要对一些Web系统做一些安全扫描和漏洞检测从而确保在系统上线前尽可能多的解决了已知的安全问题,更好地保护我们的系统免受外部的入侵和攻击。而传统的web安全检测和扫描......
  • 所属分类:WEB安全 更新时间:2017-05-20 相关标签: 阅读全文...
  • 利用HSTS嗅探浏览器历史纪录的三个漏洞
  • HSTS是让浏览器强制使用HTTPS访问网站的一项安全策略。HSTS的设计初衷是缓解中间人攻击带来的风险。本文主要介绍HSTS及其他Web功能带来的一些隐私问题,比如如何利用它们来探测浏览器的用户历史纪录。 一、背景:什......
  • 所属分类:WEB安全 更新时间:2017-05-19 相关标签: 阅读全文...
  • 基于大数据和机器学习的Web异常参数检测系统Demo实现
  • 一、前言 如何在网络安全领域利用数据科学解决安全问题一直是一个火热的话题,讨论算法和实现的文章也不少。前段时间看到楚安的文章《数据科学在Web威胁感知中的应用》,其中提到如何用隐马尔可夫模型(HMM)建立web参......
  • 所属分类:WEB安全 更新时间:2017-05-19 相关标签: 阅读全文...
  • 我买的车险,如何泄漏了我的位置
  • 与大多数车险公司一样,我所购买的车险也提供了一款装在车上的卫星设备以供获取位置信息。通过在车中安装类似的设备,保险公司可以分析出你的行为。当然如果你的车辆被盗,它还可以帮助警方破案以及你可以获得一笔不......
  • 所属分类:WEB安全 更新时间:2017-05-19 相关标签: 阅读全文...
  • 暗链隐藏的N种姿势
  • 一、介绍 暗链也称黑链,即隐蔽链接,是黑帽SEO的作弊手法之一,其目的就是利用高权重网站外链来提升自身站点排名。 一般来说,暗链是由攻击者入侵网站后植入的,暗链在网页页面上不可见或者极易被忽略,但是搜索引......
  • 所属分类:WEB安全 更新时间:2017-05-17 相关标签: 阅读全文...
  • 学点算法搞安全之HMM(上篇)
  • 隐式马尔可夫(HMM),也称韩梅梅,广泛应用于语音识别、文本处理以及网络安全等领域,2009年I Corona ,D Ariu , G Giacinto三位大神关于HMM应用于web安全领域的研究论文,让HMM逐渐被各大安全厂商重视。 本篇重点......
  • 所属分类:WEB安全 更新时间:2017-05-11 相关标签: 阅读全文...
  • 学点算法搞安全之HMM(下篇)
  • 上篇我们介绍了HMM的基本原理以及常见的基于参数的异常检测实现,这次我们换个思路,把机器当一个刚入行的白帽子,我们训练他学会XSS的攻击语法,然后再让机器从访问日志中寻找符合攻击语法的疑似攻击日志。 通过......
  • 所属分类:WEB安全 更新时间:2017-05-11 相关标签: 阅读全文...
  • 浅析 Web Cache 欺骗攻击
  • 不知你是否曾经闪现过一个想法,当我们访问https://www.paypal.com/myaccount/home/stylesheet.css,或者https://www.paypal.com/myaccount/settings/notifications/logo.png?www.myhack58.com可能暴露敏感数据,甚至......
  • 所属分类:WEB安全 更新时间:2017-05-10 相关标签: 阅读全文...
  • 通过浏览器缓存来bypass nonce script CSP
  • 最近看了去年google团队写的文章CSP Is Dead, Long Live CSP!,对csp有了新的认识,在文章中,google团队提出了nonce-{random}的csp实现方式,而事实上,在去年的圣诞节,Sebastian 演示了这种csp实现方式的攻击方式......
  • 所属分类:WEB安全 更新时间:2017-05-08 相关标签: 阅读全文...
  • Google最新XSS Game Writeup
  • 本文介绍了如何完成谷歌最新的XSSGame的过程,完成了这八个挑战就有机会获得Nexus 5x。实际上这八个挑战总体来说都不难,都是些常见的xss。通关要求是只要能弹出alert窗口即可。 第一关 反射型xss,在搜索框提交......
  • 所属分类:WEB安全 更新时间:2017-05-05 相关标签: 阅读全文...
  • 子域名枚举的艺术
  • 当我们在查找某个域名的有效子域名时,我们通常需要使用子域名枚举这项技术。但是,除非DNS服务器暴露了完整的DNS空间(涉及到AXFR协议),否则我们真的很难拿到目标域名的子域名列表。目前主要的技术是使用一个常用......
  • 所属分类:WEB安全 更新时间:2017-05-04 相关标签: 阅读全文...
  • 浅谈Python网络爬虫
  • 一 相关背景 网络爬虫(Web Spider)又称网络蜘蛛、网络机器人,是一段用来自动化采集网站数据的程序。如果把互联网比喻成一个蜘蛛网,那么Spider就是在网上爬来爬去的蜘蛛。网络爬虫不仅能够为搜索引擎采集网络信息,......
  • 所属分类:WEB安全 更新时间:2017-05-03 相关标签: 阅读全文...
  • 游戏外挂网站暗藏病毒:盗号、锁首等数种危害并举
  • 一、综述 近期,火绒安全团队截获一批捆绑在《地下城与勇士》游戏外挂上的首页劫持病毒。根据技术分析追溯,我们确定这些病毒的主要传播源是一个游戏外挂网站,进而发现,这个外挂站是一个巨大的“病毒窝点”,传播......
  • 所属分类:WEB安全 更新时间:2017-05-03 相关标签: 阅读全文...
  • 服务器遇到大流量攻击的处理过程
  • 案例描述 早上接到 IDC 的电话,说我们的一个网段 IP 不停的向外发包,应该是被攻击了,具体哪个 IP不知道,让我们检查一下。 按理分析及解决办法 首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有 ......
  • 所属分类:WEB安全 更新时间:2017-05-02 相关标签: 阅读全文...
  • 新式攻击使用W3C环境光线传感器来窃取浏览器的敏感信息
  • 概述 在这篇文章中,我们将会给大家介绍一种从浏览器中提取敏感信息的方法,而我们所要用到的工具就是你的智能手机或笔记本电脑中的环境光传感器。文章结构如下: 1. 首先,我们会介绍与光传感器有关的内容。 2......
  • 所属分类:WEB安全 更新时间:2017-05-01 相关标签: 阅读全文...
  • 新一代Web安全治理体系让“我的地盘我做主”不再只是梦
  • 学习网络安全技术省去网站被黑被入侵的烦恼就来黑吧安全网IT技术培训http://vip.myhack58.com 每个人都有自己的梦想,这个梦想或大或小,这个梦想或虚幻或真实。现实生活中,我们总会有想要改变现状的小梦想。要么是......
  • 所属分类:WEB安全 更新时间:2017-04-29 相关标签: 阅读全文...
  • 一种基于机器学习的自动化鱼叉式网络钓鱼思路
  • 2016年美国黑帽大会(BlackHat USA 2016)对与会的安全从业人员最关心的安全威胁进行调查,发现黑客们最关心的是:“Phishing,social network exploits, or other forms of social engineering ”,该安全威胁占比46%......
  • 所属分类:WEB安全 更新时间:2017-04-29 相关标签: 阅读全文...
  • APT攻击利器-Word漏洞CVE-2016-7193原理揭秘
  • 作者: 百度安全实验室 一、概述 近期,百度安全实验室反高级威胁团队截获多封利用Microsoft Office Word漏洞进行攻击的恶意邮件。 通过对邮件附件样本进一步分析发现,其利用的漏洞为澳洲国防部计算机应急响应中......
  • 所属分类:WEB安全 更新时间:2017-04-26 相关标签: 阅读全文...
  • pwnhub -- 绝对防御 writeup
  • 周末做了一道对于我来说很蛋疼的题目...但是看了各位师傅的writeup就觉得自己的思路太窄了.... 题目地址:https://pwnhub.cn/gamedetail?id=13 注册之后有个留言板,有CSP(不允许对外发送请求),经过测试只过滤一......
  • 所属分类:WEB安全 更新时间:2017-04-25 相关标签: 阅读全文...
  • pwnhub 绝对防御 出题思路和反思
  • 由于整个站最初的时候其实是用来测试漏洞的,所以被改成题目的时候很多应该注意的地方没有仔细推敲,在看了别人wp后仔细研究了一下,我发现题目本身漏洞就要求admin和xss点在同源下,整个漏洞被改成ctf题目是存在冲......
  • 所属分类:WEB安全 更新时间:2017-04-25 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集