欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 使用Frida配合Burp Suite追踪API调用
  • 几周前我对某个手机银行应用进行测试。这个app用了一个框架,这个框架能够混淆、加密app与服务器进行的TLS连接。我用Frida截获了加密环节之前的明文请求/响应。我希望能够修改截获的API调用,然后看看远程服务器是如......
  • 所属分类:WEB安全 更新时间:2017-01-21 相关标签: 阅读全文...
  • 什么是流量劫持,如何防止流量劫持?
  • 流量劫持,是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用户流量损失的情形。流量劫持是一种古老的攻击方式,比如早已见惯的广告弹窗(如下图)等,很多人已经对此麻木......
  • 所属分类:WEB安全 更新时间:2017-01-19 相关标签: 阅读全文...
  • 一场屠戮MongoDB的盛宴反思:超33000个数据库遭入侵
  • 许多人没有想到,去年12月一件不起眼的小事,在新年伊始却演变成了一场屠杀。如今,受害的一方似乎正由于自身的疏忽和迟钝而显得愈发无力反抗,一个接一个倒下。 截止本周三(1月11日),已经有20名以上的黑客加入到......
  • 所属分类:WEB安全 更新时间:2017-01-18 相关标签: 阅读全文...
  • 互联网黑势力之流量劫持
  • 在鼠标点击的一刹那,流量在用户系统中流过层层节点,在路由的指引下奔向远方的服务器。这段路程中,短兵相接的战斗往往是最激烈的,在所有流量可能路过的节点,往往都潜伏着劫持者,他们劫持流量的手段也层出不穷,......
  • 所属分类:WEB安全 更新时间:2017-01-12 相关标签: 阅读全文...
  • 看我是如何跟羊毛党战斗的之我也变成羊毛党
  • 一、前言 快钱、飞凡双旦活动已经过去,这里跟大家分享下我是如何跟羊毛党战斗的。/doge 由于是事后写的,所以当时活动的一些截图可能就没有了,大家自行脑补~ 就当顺便给快钱、飞凡打个广告啦~ 二、导火索 作为......
  • 所属分类:WEB安全 更新时间:2017-01-12 相关标签: 阅读全文...
  • 使用Burp的intruder功能测试有csrf保护的应用程序
  • 很多Web应用会有防止跨站请求伪造的策略,比如通过request请求传一个当前页面有效或者当前会话有效的参数(如果他们没有,那就很值得研究)。这些参数用来证明这个请求是从预定用户发出的,而不是攻击者那里。 这些......
  • 所属分类:WEB安全 更新时间:2017-01-10 相关标签: 阅读全文...
  • 如何全面防御Webshell(下)?
  • 在进行调查时,最关键的部分之一是找到黑客的入口点,尤其是当运维团队将受攻击的服务器恢复正常后,我们意识到有很多的服务器已经被各种webshell、rootkits和密码导出工具感染时。 需要快速的通过时间轴法对恶意......
  • 所属分类:WEB安全 更新时间:2017-01-08 相关标签: 阅读全文...
  • 如何全面防御Webshell(上)?
  • 事实上,互联网上每时每刻都在上演着攻击和防御,本文将会重点的深入分析一下其中一个非常重要的类型:webshell。 初识webshell 接下来将演示3种黑客是如何使劲浑身解数将webshell上传到服务器上的,包括远程文件......
  • 所属分类:WEB安全 更新时间:2017-01-08 相关标签: 阅读全文...
  • 使用Docker搭建Web漏洞测试环境
  • 由于一直在做 Web 漏洞扫描器的开发, 那么就必然少不了 Web 的漏洞测试环境, 其中就包括 bWAPP、DVWA、OWASP WebGoat 等这些国际品牌。 这些漏洞环境一般搭建比较繁琐, 而且出问题后有不能像 git 那样方便的’回滚’......
  • 所属分类:WEB安全 更新时间:2016-12-28 相关标签: 阅读全文...
  • 新手指南:DVWA-1.9全级别教程(完结篇,附实例)之XSS
  • 目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。 DVWA简介 DVWA(Da......
  • 所属分类:WEB安全 更新时间:2016-12-27 相关标签: 阅读全文...
  • 华为内部web安全法则
  • Web安全原则 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的......
  • 所属分类:WEB安全 更新时间:2016-12-25 相关标签: 阅读全文...
  • 10大Web漏洞扫描器
  • 美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重、最广泛、危害性最大的安全问题。如华为、RSA、赛门铁克、联想ThinkPad、绿盟、启明星辰、东软、Citrix思杰、安域领创等......
  • 所属分类:WEB安全 更新时间:2016-12-22 相关标签: 阅读全文...
  • 大论帝国cms的安全性
  • 帝国cms服务器网站目录安全设置经验内容仅供参考,如果您在修复具体问题时有疑问建议可以在文章下面详细咨询,系统114网将尽力提供帮助。同时如果你有好的经验,欢迎投稿分享给广大网友。  1、目录权限  我们不建......
  • 所属分类:WEB安全 更新时间:2016-12-22 相关标签: 阅读全文...
  • HTTP/2性能更好,但是安全性又如何呢
  • 根据W3Techs的 调查数据 显示,目前大约有11%的网站使用了新型的互联网通信协议–HTTP/2,而在一年之前,其占比只有2.3%。 没错,这个新的协议的确可以提供更好的性能,而且也可以与之前的HTTP/1.1兼容,但是我......
  • 所属分类:WEB安全 更新时间:2016-12-22 相关标签: 阅读全文...
  • 秒爆十万字典:奇葩技巧快速枚举“一句话后门”密码
  • 对于一句话大家都不陌生,有时会需要爆破。爆破的速度和目标的响应速度就有很大的关系了。那如果我们爆破的速度可以提升至少1000倍呢? 首先如下图↓ 变量=echo “ok”; 如果这个变量等于密码的时候,我们的......
  • 所属分类:WEB安全 更新时间:2016-12-19 相关标签: 阅读全文...
  • 防火防盗反钓鱼,2016年全球网络钓鱼总汇概览
  • 一、前言 1.1 “邮件门” 美国大选已经告一段落,特朗普干翻希拉里成功入主白宫。希拉里的落败原因有很多,但有一点我们还是不得不提,那就是沸沸扬扬的“邮件门”事件。 “邮件门”这件事比较复杂,辣条君只能简......
  • 所属分类:WEB安全 更新时间:2016-12-15 相关标签: 阅读全文...
  • 利用XML签名攻击绕过SAML2.0单点登录
  • 简介 近期我们注意到新西兰很多网站希望使用SSO(Single Sign On)单点登录,替代传统的密码登录,这其中还包括了许多政府服务。当前最普遍的做法便是使用支持多种框架与开发语言的SAML 2.0标准。该机制将验证用户身......
  • 所属分类:WEB安全 更新时间:2016-12-15 相关标签: 阅读全文...
  • 安全科普:SQLi Labs 指南(Part 3)
  • 搭建环境:xp sp3虚拟机+xampp 使用工具:firefox浏览器+hackbar插件+tamper data插件+Cookie Editor插件 第九课:GET – Blind – Time based – Single Quotes(基于时间-单引号-盲注) 这一课我们......
  • 所属分类:WEB安全 更新时间:2016-12-14 相关标签: 阅读全文...
  • 揭秘360SRC安全应急事件处理全过程
  • 老周不止一次的在公开场合说到,安全是360公司的底线,我们必须坚守。在360公司,有这样一支队伍,他们每天与时间赛跑,和黑暗势力进行着较量。在威胁面前,他们从不畏惧,在安全问题上,他们从不妥协。他们常说安全......
  • 所属分类:WEB安全 更新时间:2016-12-10 相关标签: 阅读全文...
  • BurpSuite 实战指南(附下载地址)
  • 引子 刚接触web安全的时候,非常想找到一款集成型的渗透测试工具,找来找去,最终选择了Burp Suite,除了它功能强大之外,还有就是好用,易于上手。于是就从网上下载了一个破解版的来用,记得那时候好像是1.2版本......
  • 所属分类:WEB安全 更新时间:2016-12-10 相关标签: 阅读全文...
  • Java Web本地提权以及数据劫持思路(以Tomcat为例)
  • 、 最近偶然接触到一个Java的不常用的特性:instrument。简单来说,这个特性允许你在程序运行之前改变任意类文件的字节码。简单的instrument例子大家可以百度,相当多。而在运行Java程序的时候,只需要加上一个选......
  • 所属分类:WEB安全 更新时间:2016-12-07 相关标签: 阅读全文...
  • 一个CMS案例实战讲解PHP代码审计入门
  • 前言 php代码审计介绍:顾名思义就是检查php源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞。 1、环境搭建: 工欲善其事必先利其器,先介绍代码审计必要的环境搭建 审计环境 windows环境(windows7......
  • 所属分类:WEB安全 更新时间:2016-12-06 相关标签: 阅读全文...
  • Splunk+蜜罐+防火墙=简易WAF
  • 每天都会有大量的公网恶意扫描和攻击行为,在企业安全建设中,可以利用大数据来实时分析攻击,通过防火墙联动来自动封禁恶意IP,其优点是配置灵活,且无需串联新设备。在此与大家分享一下大数据分析的应用实践。 ......
  • 所属分类:WEB安全 更新时间:2016-12-05 相关标签: 阅读全文...
  • 当代 Web 的 JSON 劫持技巧
  • 原文链接:JSON hijacking for the modern web 原作者:Gareth Heyes 译:Holic (知道创宇404安全实验室) Benjamin Dumke-von der Ehe 发现了一种有趣的跨域窃取数据的方法。使用JS 代理,他能够创建一个 handle......
  • 所属分类:WEB安全 更新时间:2016-12-01 相关标签: 阅读全文...
  • 新手指南:DVWA-1.9全级别教程之SQL Injection
  • 目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。 DVWA简介 DVWA(Da......
  • 所属分类:WEB安全 更新时间:2016-11-27 相关标签: 阅读全文...
  • TOKEN验证防止CSRF攻击的原理
  • CSRF中文名是跨站请求伪造攻击,黑客可以通过CSRF攻击来伪造我们的身份,从而进行不法的活动。比如说是以我们的身份进行转账,发送邮件等操作。 要想做到预防CSRF攻击,首先需要了解CSRF攻击的原理,只有这样才可以......
  • 所属分类:WEB安全 更新时间:2016-11-26 相关标签: 阅读全文...
  • 新手指南:DVWA-1.9全级别教程之Insecure CAPTCHA
  • 目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。 DVWA简介 DVWA(Da......
  • 所属分类:WEB安全 更新时间:2016-11-23 相关标签: 阅读全文...
  • 暗网有一半以上的数据都是合法的!包括7%的色情网站
  • 可能受到多种因素的影响,很多人一听到“暗网”这个名字首先想到的都是它的阴暗面。但实际上,暗网也有它光明的一面。安全公司Terbium Labs近期的一项调查表明,在目前的加密网络(即暗网)中,有一半以上的网络通信......
  • 所属分类:WEB安全 更新时间:2016-11-23 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集