欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • TrickBot银行木马归来袭击全球金融机构
  • 一、背景 最近国外安全研究人员发现TrickBot银行木马最新的样本,深信服EDR安全团队对此事进行了相关跟进,获取到了相应的样本,并对样本进行了详细分析,确认此样本为TrickBot银行盗号木马的最新变种样本,并且此样......
  • 所属分类:WEB安全 更新时间:2018-07-23 相关标签: 阅读全文...
  • 某入群题之命令执行字符限制绕过(WEB100)
  • 某入群题又来啦!由于之前刚好做了下hitcon的两个命令执行绕过,问了下pcat能不能写这篇文章。然后他说随便我…..这里就记录一下。看题! 类似上次的两题,只是这次字符长度限制变成了20。心中一喜,直接拿上次的......
  • 所属分类:WEB安全 更新时间:2018-07-22 相关标签: 阅读全文...
  • 看我如何发现比特币赌博网站漏洞并收获$12000赏金
  • Web渗透测试中比较难的就是测试那些交互较少的应用了,当你尝试了各种漏洞利用方法而无效之后,很可能就会放弃了。但有时候,这种花费时间的投入和研究,对白帽自身的技术提高来说,还是非常有用的。这里我就分享一......
  • 所属分类:WEB安全 更新时间:2018-07-22 相关标签: 阅读全文...
  • 连接多个漏洞获取管理员访问权限
  • 在几个月前,我有幸被邀请参加了HackerOne上的一个私人项目。该项目受到一系列IDOR漏洞的影响,通过对这些漏洞的利用,我成功接管了他们的一个应用。由于保密协议的限制,因此在本文中将不会出现任何真实名称或与公司......
  • 所属分类:WEB安全 更新时间:2018-07-20 相关标签: 阅读全文...
  • 如何通过滥用SSL TLS绕过Web应用程序防火墙
  • 介绍 近些年来,Web安全已经逐渐变成了IT安全领域里非常重要的一个部分。Web应用的优势就在于开发人员可以在较短的时间内集成各种关键服务,而且维护难度也比传统的桌面端应用程序要低很多。除了设计新的Web标准之......
  • 所属分类:WEB安全 更新时间:2018-07-18 相关标签: 阅读全文...
  • 运营商互联网业务暴露面安全
  • 对于一个士兵来说,最大的梦想就是能上战场真刀实枪的干上一战,同样对于一名安全人员来说,自己设计、建设的经过层层防护的系统,如果没有经历过一次攻击,不免有点索然无味。在众多的甲方当中,运营商互联网业务暴......
  • 所属分类:WEB安全 更新时间:2018-07-17 相关标签: 阅读全文...
  • 如何通过滥用SSLTLS绕过Web应用程序防火墙
  • 介绍 近些年来,Web安全已经逐渐变成了IT安全领域里非常重要的一个部分。Web应用的优势就在于开发人员可以在较短的时间内集成各种关键服务,而且维护难度也比传统的桌面端应用程序要低很多。除了设计新的Web标准之......
  • 所属分类:WEB安全 更新时间:2018-07-17 相关标签: 阅读全文...
  • 基于卷积神经网络的SQL注入检测
  • 一、前言 本文结合自然语言处理技术,采用卷积神经网络算法训练SQL注入检测模型,主要包括文本处理、提取文本向量和训练检测模型三个部分。由于本人是初学者,也是通过前辈们的文章来学习这方面的知识,很多地方可能......
  • 所属分类:WEB安全 更新时间:2018-07-16 相关标签: 阅读全文...
  • 九种姿势运行Mimikatz
  • 前言 平时收集的一些姿势,用户绕过杀软执行mimikatz,这里以360为例进行bypass 测试。 下载最新版360: 未经处理的mimikatz直接就被杀了 下面开始进行绕过360抓密码 姿势一-powershell https://github.com......
  • 所属分类:WEB安全 更新时间:2018-07-13 相关标签: 阅读全文...
  • 浏览器攻击框架BeEF Part 4:绕过同源策略与浏览器代理
  • 从这一章开始,正式进入了攻击阶段。BeEF提供了大量的攻击模块,可以直接使用。除了已有的模块,BeEF还提供了API,可以使用API来自行开发新的攻击模块。这一章,要介绍如何绕过同源策略,还会介绍BeEF的一个强大的功......
  • 所属分类:WEB安全 更新时间:2018-07-12 相关标签: 阅读全文...
  • 看我如何发现GitHub提权漏洞获得$10000赏金
  • 之前,我从没参加过GitHub官方的一些漏洞众测项目,在HackerOne发起的HackTheWorld比赛中,主办方宣传除了赏金以外,还有机会获得Github提供的终身无限制私有库(unlimited private repositories)使用权,这激发了......
  • 所属分类:WEB安全 更新时间:2018-07-12 相关标签: 阅读全文...
  • 浏览器攻击框架BeEF Part 3:持续控制
  • 前言 前两章分别对BeEF框架做了初步介绍以及讲解了初始化控制。 前情提要:浏览器攻击框架BeEF Part 1,浏览器攻击框架BeEF Part 2:初始化控制 接下来就是介绍如何让BeEF持续控制僵尸们了。 持续化控制 BeEF在......
  • 所属分类:WEB安全 更新时间:2018-07-11 相关标签: 阅读全文...
  • Django开发与攻防测试(入门篇)
  • 最近在培训包括在一些比赛中,python框架方面的攻防需求出现的越来越频繁。 虽然python框架相对于Java、php等的广泛度还略低一点(当然现在的流行程度已经越来越高了),但是我们并不能够因此而忽视其的安全性。比如......
  • 所属分类:WEB安全 更新时间:2018-07-10 相关标签: 阅读全文...
  • 浏览器攻击框架BeEF Part 2:初始化控制
  • 前言 在上一章,笔者已经介绍了BeEF框架。在这一章,笔者将介绍攻击浏览器技术的第一步:初始控制。 浏览器攻击方法流程 攻击浏览器一般分为几个阶段,看下图: 整个过程分为三个步骤,第一步是初始化控制,第......
  • 所属分类:WEB安全 更新时间:2018-07-09 相关标签: 阅读全文...
  • 任意用户密码重置(五):重置凭证可暴破
  • 在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成......
  • 所属分类:WEB安全 更新时间:2018-07-04 相关标签: 阅读全文...
  • 任意用户密码重置(四):重置凭证未校验
  • 在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成......
  • 所属分类:WEB安全 更新时间:2018-07-04 相关标签: 阅读全文...
  • 任意用户密码重置(三):用户混淆
  • 在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成......
  • 所属分类:WEB安全 更新时间:2018-07-04 相关标签: 阅读全文...
  • 任意用户密码重置(二):重置凭证接收端可篡改
  • 在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面,其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成......
  • 所属分类:WEB安全 更新时间:2018-07-04 相关标签: 阅读全文...
  • 任意用户密码重置(一):重置凭证泄漏
  • 在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的页面,或者用户忘记密码时的密码找回页面。其中,密码找回功能是重灾区。我把日常渗透过程中遇到的案例作了漏洞成......
  • 所属分类:WEB安全 更新时间:2018-07-04 相关标签: 阅读全文...
  • 浏览器攻击框架BeEF Part 1
  • 笔者发现国内很少有系统介绍BeEF框架的文章,所以笔者决定写一个系列。内容涉及攻击浏览器的技术,主要介绍这些技术的原理,并如何操作BeEF来实现,不涉及浏览器本身漏洞(门槛太高,笔者有心无力)。 预备知识 在......
  • 所属分类:WEB安全 更新时间:2018-07-04 相关标签: 阅读全文...
  • 登录框之另类思考:来自客户端的欺骗
  • 0×01 前言 前几天刚见人发了一个登录框引发的血案,而常规的爆破有风控和各种变态验证码,或者大型的电商都会用SSO实现登录,密码找回逻辑看似天衣无缝,又或者采用第三方的Oauth授权。往往这些常规的东西已经被人......
  • 所属分类:WEB安全 更新时间:2018-07-02 相关标签: 阅读全文...
  • Mr.Robot靶机实战演练
  • 前言 靶机主题来自美剧《黑客军团》,这是一部传达极客精神和黑客文化的上佳作品,不同于《硅谷》的搞笑风格,这部剧的主角Eliot患有精神分裂,整部剧的情节都较为压抑,有点类似于电影《搏击俱乐部》中双重人格的斗......
  • 所属分类:WEB安全 更新时间:2018-06-29 相关标签: 阅读全文...
  • WannaMine再升级,摇身一变成为军火商?
  • WannaMine是个“无文件”僵尸网络,在入侵过程中无任何文件落地,仅仅依靠WMI类属性存储ShellCode,并通过“永恒之蓝”漏洞攻击武器以及“Mimikatz+WMIExec”攻击组件进行横向渗透。相比较其他挖矿僵尸网络,WannaMi......
  • 所属分类:WEB安全 更新时间:2018-06-29 相关标签: 阅读全文...
  • 智能语音应用Mycroft AI的远程代码执行漏洞分析
  • 当我在Arch Linux社区开源软件包的开发贡献过程中,发现了一个很有意思的项目-麦考夫Mycroft AI,它是一款开源且基于人工智能(AI)的语音助理应用,在对它的研究过程中,我发现了一个不用点击交互即可实现的远程代码......
  • 所属分类:WEB安全 更新时间:2018-06-29 相关标签: 阅读全文...
  • 浅谈SQL盲注测试方法解析与技巧
  • 本文所有实战盲注例子,均来自Joomla! 3.7.0 – ‘com_fields’ SQL Injection。 由于篇幅有限,本文就不去剖析漏洞原理,直接告知payload插入点,来展现盲注的用法(如有需要可自行寻找各方大佬的研究文章)。......
  • 所属分类:WEB安全 更新时间:2018-06-28 相关标签: 阅读全文...
  • Catch Me If You Can靶机实战演练
  • 0×01 前言 电影《Catch Me If You Can》的中译名是《猫鼠游戏》,《猫鼠游戏》是一部好莱坞罕见的犯罪传记题材影片,其以独特的视角重新演绎了社会工程学诈骗的诸多手段令人称赞。《猫鼠游戏》是由莱昂纳多、汤姆&......
  • 所属分类:WEB安全 更新时间:2018-06-28 相关标签: 阅读全文...
  • 看看印尼黑客如何利用电影大片进行网络攻击
  • 网络犯罪分子每天都在想尽各种办法来进行攻击,这对于信息安全从业者来说再正常不过了,而这一次印尼网络犯罪组织开始利用电影大片来欺骗目标用户访问已受感染的网站。 攻击第一步:“招募”僵尸网络 在很多Web......
  • 所属分类:WEB安全 更新时间:2018-06-27 相关标签: 阅读全文...
  • Game-of-Thrones-CTF-1.0靶机实战演练
  • 0×01 前言 这个靶机的主题是“权利的游戏”,难度在中高水平,目标是获得七国的flag和四个额外的flag,其中包括三个secret flag和一个final flag,需要一点《权力的游戏》的知识,完全没看过也没有关系,但是作为一......
  • 所属分类:WEB安全 更新时间:2018-06-23 相关标签: 阅读全文...
  • JIS-CTF_VulnUpload靶机攻略
  • vulnhub 是我喜爱的游乐场之一,上面的每个靶机都是很酷的一个游戏。完整找出所有 flag 只是基本任务,实现提权才是终极目标。我并不追求最快夺旗,而是尽可能运用完整攻击链入侵靶机,所以,这篇攻略中,或许某些内......
  • 所属分类:WEB安全 更新时间:2018-06-22 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集