欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 新型鼠标光标劫持攻击将允许攻击者劫持GoogleChrome会话
  • 近期,研究人员发现了一种新型的技术支持诈骗技术,攻击者可以利用这种技术来劫持Google Chrome用户的浏览会话。 想必大家对技术支持诈骗不会感到陌生,微软Windows的技术支持站点就是很多攻击者的主要诈骗工具,很......
  • 所属分类:WEB安全 更新时间:2018-10-16 相关标签: 阅读全文...
  • IKEA.com本地文件包含漏洞之PDF解析的巧妙利用
  • 背景 本地文件包含(LFI)漏洞是一种危害性较大的漏洞类型。一旦出现攻击者将可能利用其,读取文件源码或敏感信息,包含恶意文件,执行任意代码,甚至控制服务器等。大多数LFI攻击都是由动态加载图像或其他文件的代......
  • 所属分类:WEB安全 更新时间:2018-10-15 相关标签: 阅读全文...
  • 无字母数字Webshell之提高篇
  • 前几天有同学提出了一个问题,大概代码如下: 35){ die("Long."); } if(preg_match("/[A-Za-z0-9_$]+/",$code)){ die("NO."); } eval($code); }else{ highlight_file(__FILE__); } 这个代码如果要......
  • 所属分类:WEB安全 更新时间:2018-10-15 相关标签: 阅读全文...
  • 如何使用基于整数的手动SQL注入技术
  • 今天,我将教大家如何使用基于整型的手动SQL注入技术来对MySQL数据库进行渗透测试。提醒一下,这是一篇写给newbee的文章。话不多说,我们直奔主题! SQL注入线上实验室 1. 初学者可以使用这个网站来练习自己的S......
  • 所属分类:WEB安全 更新时间:2018-10-13 相关标签: 阅读全文...
  • 使用Python CGIHTTPServer绕过注入时的CSRF Token防御
  • CSRF tokens是服务器生成的一串随机值,其主要作用是防止表单重复提交以及请求伪造攻击。由于该生成值具有随机性,一次性,并且是基于服务器端的前一个请求生成的,因此黑客几乎不可能伪造它。 Burp Suite 虽说无法......
  • 所属分类:WEB安全 更新时间:2018-10-12 相关标签: 阅读全文...
  • 12种公开资源情报(OSINT)信息收集技巧分享
  • 公开资源情报计划(Open source intelligence ),简称OSINT,是美国中央情报局(CIA)的一种情报搜集手段,从各种公开的信息资源中寻找和获取有价值的情报。 有各种各样的数据可以被归类为OSINT数据,但从渗透测试......
  • 所属分类:WEB安全 更新时间:2018-10-10 相关标签: 阅读全文...
  • BSidesTLV 2018 CTF WriteUp(附CTF环境)
  • 0×01 前言 BSidesTLV 2018 CTF是2018年6月19日的一次CTF比赛,本来这个WriteUp早就想写了,但是比赛结束没环境复现,直到最近发现官方居然放出了比赛环境。 CTF比赛环境下载: magnet:?xt=urn:btih:849BC74CE4......
  • 所属分类:WEB安全 更新时间:2018-10-09 相关标签: 阅读全文...
  • 前端安全系列(一):如何防止XSS攻击?
  • 前端安全 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非......
  • 所属分类:WEB安全 更新时间:2018-10-09 相关标签: 阅读全文...
  • 浅谈PHP安全规范
  • php因天生支持web应用的开发,以其简单易学,开发效率高而备受喜爱。使其占据了大片的市场。但是php本身的安全问题却一直不曾消停,以及不规范的php代码编写规范,使得web应用漏洞百出。这篇文章从配置文件和代码编写......
  • 所属分类:WEB安全 更新时间:2018-10-01 相关标签: 阅读全文...
  • 代码自动化扫描系统的建设(下)
  • 上一篇文章《代码自动化扫描系统的建设(上)》 主要介绍了自动扫描系统的背景和要实现的目标,这篇里我们将会详细介绍各个层与模块的设计。 一、系统设计 1.1 基础与准备 这里我们主要使用 Linux 来搭建我们的自动......
  • 所属分类:WEB安全 更新时间:2018-09-30 相关标签: 阅读全文...
  • 网页挂马常见漏洞分析与检测
  • 一、CVE-2018-8373漏洞的初步分析 2018年8月15日,趋势科技披露了他们发现的一起浏览器漏洞攻击事件。在检测到的攻击流量中,攻击者使用了cve-2018-8373这个漏洞来攻击IE浏览器,访问存在该漏洞的页面可能导致远程代......
  • 所属分类:WEB安全 更新时间:2018-09-29 相关标签: 阅读全文...
  • 揭秘网络犯罪分子如何利用区块链隐藏自己
  • 自从2017年执法部门取缔了AlphaBay和Hansa这两个暗网市场之后,引发了人们对暗网市场前景的大量猜测。正如我们之前所讨论的那样,恐惧和不信任的氛围正在趋驱使网络犯罪社区采用更加先进的技术来提高自己的安全性,并......
  • 所属分类:WEB安全 更新时间:2018-09-29 相关标签: 阅读全文...
  • 如何对经前端加密后的数据进行爆破
  • 最近遇到两个个案例,经过一番倒腾,发现其登录功能均可撞库。但是都存在登录数据本地加密,有空了放一起总结记录一下。 一、案例1(RSA本地加密) 摸底: 首先,进行正常登录逻辑测试,发现该系统登录逻辑分下面......
  • 所属分类:WEB安全 更新时间:2018-09-25 相关标签: 阅读全文...
  • Python Fake Package引发的任意代码执行风险
  • 本文将结合一个实例讲解安装Fake Python Package时可能引起的任意代码执行风险(原理同Package 钓鱼,所以安装Python Package 一定要小心哦)以及相应的缓解办法。 一般来说,利用Python Package执行一些特定代码有......
  • 所属分类:WEB安全 更新时间:2018-09-22 相关标签: 阅读全文...
  • 代码自动化扫描系统的建设(上)
  • 代码审计一直是企业白盒测试的重要一环,面对市场上众多商业与开源的审计工具,你是否想过集众家之所长来搭建一套自动化的扫描系统呢?也许这篇文章会给你一些思路:) 一、背景 1. 为什么需要自动化扫描? 互联网......
  • 所属分类:WEB安全 更新时间:2018-09-22 相关标签: 阅读全文...
  • 子域名劫持漏洞的挖掘指南
  • 在HackerOne实时更新的公开漏洞推送Hacktivity消息中,我们可以发现,其中的子域名劫持漏洞(Subdomain Takeover)占比不少。自从2014年Detectify实验室发布了一系列子域名劫持攻击姿势的文章之后,众测行业出现了......
  • 所属分类:WEB安全 更新时间:2018-09-22 相关标签: 阅读全文...
  • Webshell入侵检测初探(一)
  • 0×01:Webshell简介 攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚......
  • 所属分类:WEB安全 更新时间:2018-09-20 相关标签: 阅读全文...
  • 使用PoolTag识别主机指纹
  • 写在前面的话 通常情况下,恶意软件会对它所在的主机进行指纹识别,以便发现更多的信息。这个过程会分析一些特定的数据,用来判断恶意软件是否在VM中运行,除此之外,还会检测其他软件的存在。例如,恶意软件经常试......
  • 所属分类:WEB安全 更新时间:2018-09-19 相关标签: 阅读全文...
  • ZZCMS v8.3二阶注入之一次小心的试探
  • 萌新入坑PHP代码审计中╭(°A°`)╮选了这个易上手CMS,费尽心思审计出了一个有趣的二阶注入,满意的睡了,第二天打算写文档的时候,竟然发现…… 0×00 漏洞代码 用户在发布资讯时,尽管对POST数据使用了add......
  • 所属分类:WEB安全 更新时间:2018-09-18 相关标签: 阅读全文...
  • 22行代码的JS脚本导致英国航空公司38万乘客数据泄露
  • 9月6日,英国航空公司( British Airways,以下简称英航)发布声明称因遭黑客攻击从而导致其乘客数据被盗。在BBC的采访中,英航指出,经初步调查,约有38万乘客数据在此交数据泄露事件中受到影响,这些被盗数据信息......
  • 所属分类:WEB安全 更新时间:2018-09-18 相关标签: 阅读全文...
  • 有钱就能为所欲为?揭秘竞价排名背后的黑色产业链
  • 万事不懂都有搜索引擎。在现代生活中搜索引擎成为了比百科全书更为全面的存在。但我们不了解的是,每一条搜索结果背后,或许都是黑产上演的“真实表演”。 搜索引擎再遭炮轰? 最近,六六在微博公开炮轰国内搜索引......
  • 所属分类:WEB安全 更新时间:2018-09-17 相关标签: 阅读全文...
  • 安全测试辅助之如何快速找出元素绑定的事件函数代码
  • 在过往的安全审计中,我经常会遇到一些网站,其前端发送至后端的数据被加密处理,此时如果我想利用burpsuite之类的工具测试其是否存在弱口令等安全风险,那我必须得知晓前端发送至后端的数据包如何构造,如果要了解前......
  • 所属分类:WEB安全 更新时间:2018-09-14 相关标签: 阅读全文...
  • Nodejs反序列化漏洞利用
  • 演示环境 目标机- Hackthebox节点机(10.10.10.85:3000) 攻击者机器- Kali linux 需要的工具- nodejs, npm, [nodejs工具包],node-serialize 关于反序列化攻击 不受信任的数据被传递到unserialize()函数,这导致......
  • 所属分类:WEB安全 更新时间:2018-09-14 相关标签: 阅读全文...
  • 中文点选验证码之自动识别
  • 某次测试中遇到了汉字点选的验证码,看着很简单,尝试了一下发现有两种简单的识别方法,终于有空给重新整理一下,分享出来。 0×01 验证码的获取 首先获取验证码。由于网站比较特殊,就不以他们的为例,自己生成验......
  • 所属分类:WEB安全 更新时间:2018-09-12 相关标签: 阅读全文...
  • 通过SSTI漏洞获取服务器远程Shell
  • 本文我将为大家演示,如何利用服务器端模板注入(SSTI)漏洞,来获取应用托管服务器上的shell。 模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的......
  • 所属分类:WEB安全 更新时间:2018-09-12 相关标签: 阅读全文...
  • Python Subprocess库在使用中可能存在的安全风险总结
  • 在各大热门语言排行榜中,Python语言多次名列前茅,其高效的开发效率和优雅的编程风格吸引不少开发人员的青睐,不少公司将技术栈切换至Python。随着Python 语言的愈来愈流行,其安全问题也愈发受到安全人员的关注。作......
  • 所属分类:WEB安全 更新时间:2018-09-10 相关标签: 阅读全文...
  • 看我如何发现Facebook的$5000美金漏洞
  • 最近,我在参与一些漏洞众测项目,本文中我就来分享一个我发现的Facebook某服务器漏洞,该漏洞获得Facebook官方$5000美金奖励。 端倪 在我前期对Facebook网段199.201.65.0/24进行探测时发现,其中在IP 199.201.6......
  • 所属分类:WEB安全 更新时间:2018-09-10 相关标签: 阅读全文...
  • 基于时延的盲道研究:受限环境下的内容回传信道
  • 在一次漏洞赏金活动中,挖到个命令注入的洞,我先以时延作为证明向厂商提交该漏洞,厂商以国内网络环境差为由(的确得翻墙)拒收,几次沟通,告知若我能取回指定文件 secret.txt 才认可。目标是个受限环境:禁止出口......
  • 所属分类:WEB安全 更新时间:2018-09-10 相关标签: 阅读全文...
  • SMTP用户枚举原理简介及相关工具
  • SMTP是安全测试中比较常见的服务类型,其不安全的配置(未禁用某些命令)会导致用户枚举的问题,这主要是通过SMTP命令进行的。本文将介绍SMTP用户枚举原理以及相关工具。 SMTP SMTP命令 若服务器未禁用某些特殊命......
  • 所属分类:WEB安全 更新时间:2018-09-05 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集