欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • “同形异义字”钓鱼攻击,钉钉中招
  • 同形异义字钓鱼攻击号称“几乎无法检测”,是最狡猾的钓鱼攻击!这种攻击产生的原因是国际化域名IDNs(Internationalized Domain Names)支持多语种域名,而其中一些非拉丁字符语种的字母与拉丁字符非常相似,字面看很......
  • 所属分类:WEB安全 更新时间:2017-06-12 相关标签: 阅读全文...
  • 做 Web 开发必备的安全核对清单
  • 如果能按照本文的这个清单来实践,就能将网络安全方面的风险降得很低。 Web开发人员安全清单 在云端开发安全又健壮的 Web 应用非常难。如果你认为这很容易,那你技术水平要么已经很牛叉,要么还没有踩过坑。 ......
  • 所属分类:WEB安全 更新时间:2017-06-12 相关标签: 阅读全文...
  • 浅谈WAF绕过技巧
  • waf分类 掌握绕过各类WAF可以说是渗透测试人员的一项基本技能,本文将WAF分为云WAF、硬件WAF、软件WAF、代码级WAF,分别从各自的特性来谈一些相关的绕过技巧,更侧重于针对基于规则类的WAF绕过技巧。 云waf Eg:加......
  • 所属分类:WEB安全 更新时间:2017-06-11 相关标签: 阅读全文...
  • Flask Jinja2开发中遇到的的服务端注入问题研究
  • 作为一个安全工程师,我们有义务去了解漏洞产生的影响,这样才能更好地帮助我们去评估风险值。本篇文章我们将继续研究Flask/Jinja2 开发中遇到的SSTI (服务端模板注入)问题, 如果你从未听过SSTI 或者没有弄清楚它......
  • 所属分类:WEB安全 更新时间:2017-06-11 相关标签: 阅读全文...
  • PHP白盒审计工具RIPS源码简析
  • RIPS是一款对PHP源码进行风险扫描的工具,其对代码扫描的方式是常规的正则匹配,确定sink点;还是如flowdroid构建全局数据流图,并分析存储全局数据可达路径;下面就从其源码上略探一二。 1、扫描流程 分析其源码前......
  • 所属分类:WEB安全 更新时间:2017-06-09 相关标签: 阅读全文...
  • 一个脑洞“颇大”的恶搞链接
  • 事件起因 这其实是一件很偶然的事情,前几天在某大佬群里看大佬装逼。突然一个平日不怎么冒泡的群友发了一条链接。本着“这群里都是好人 ”的想法我就天真的点了进去……这一点可闹大了。电脑猛地变卡直至完全不能动......
  • 所属分类:WEB安全 更新时间:2017-06-08 相关标签: 阅读全文...
  • 论如何反击用AWVS的黑客
  • 我的博客经常被师傅们用各种扫描器扫,每天都想尽办法来钓我鱼。虽然这是一种示好方式,但是久了,老是不给回礼就显得不礼貌了。所以我就稍微改造了一下博客。 这篇文章将会是一个系列,会告诉大家我是怎么和师傅们......
  • 所属分类:WEB安全 更新时间:2017-06-08 相关标签: 阅读全文...
  • 如何保护网页按钮不被XSS自动点击
  • 前言 XSS 自动点按钮有什么危害? 在社交网络里,很多操作都是通过点击按钮发起的,例如发表留言。假如留言系统有 XSS 漏洞,用户中招后 XSS 除了攻击之外,还能进行传播 —— 它能自动填入留言内容,并......
  • 所属分类:WEB安全 更新时间:2017-06-02 相关标签: 阅读全文...
  • TLS 1.3如何用性能为HTTPS正名
  • 序•魔戒再现 几天前,OpenSSL官方宣布即将发布的新版本 (OpenSSL 1.1.1) 将会提供 TLS 1.3 的支持,而且还会和之前的 1.1.0 版本完全兼容,这当然是个好消息。如果说 HTTP/2 是当前互联网 Web 发展的讨论热点......
  • 所属分类:WEB安全 更新时间:2017-05-31 相关标签: 阅读全文...
  • 恶意广告又找到了新的方法绕过广告屏蔽工具
  • 广告屏蔽工具已经称为我们对抗恶意广告活动最后的希望了,但这个最后的保护屏障似乎也已经坍塌了。因为Malwarebytes近期发布了一项研究报告并详细介绍了一种恶意广告活动,而这种恶意广告活动可以成功绕过广告拦截......
  • 所属分类:WEB安全 更新时间:2017-05-31 相关标签: 阅读全文...
  • 【对抗蠕虫】如何保护网页里的按钮,不被 XSS 自动点击
  • 前言 XSS 自动点按钮有什么危害? 在社交网络里,大多操作都是通过点击按钮发起的。例如发表留言,假如留言系统有 BUG,那么 XSS 就能自动点击发送按钮,发布带有恶意代码的留言。好友看了中招后,又传播给他们的好......
  • 所属分类:WEB安全 更新时间:2017-05-30 相关标签: 阅读全文...
  • SSRF漏洞中绕过IP限制的几种方法总结
  • 一、SSRF简介 SSRF(Server-Side Request Forgery,服务器端请求伪造):通俗的来说就是我们可以伪造服务器端发起的请求,从而获取客户端所不能得到的数据。SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所......
  • 所属分类:WEB安全 更新时间:2017-05-29 相关标签: 阅读全文...
  • 换个角度看看,为什么钓鱼攻击总能成功
  • 当我第一次收到银行发来的“安全”邮件时,我第一反应就是这里是否有诈?因为在我看来,它实在是太像钓鱼邮件了。这封躺在收件箱里的邮件来源于我银行经理的个人邮箱地址,而非Chase银行的官方邮箱。邮件中不仅附带......
  • 所属分类:WEB安全 更新时间:2017-05-28 相关标签: 阅读全文...
  • 如何通过IE11浏览器跨域窃取CSV文件信息
  • 写在前面的话 早在2008年,Chris Evans就发现了通过在标签中添加恶意参数来跨域窃取Firefox数据的可能性。如果你感兴趣的话,你现在仍然可以阅读当初他所发表的那篇研究报告【传送门】。 他曾在报告中解释......
  • 所属分类:WEB安全 更新时间:2017-05-25 相关标签: 阅读全文...
  • 如何高效利用你所“劫持”的HTTP会话?
  • HTTP会话劫持 HTTP是无状态的协议,为了维持和跟踪用户的状态,引入了Cookie和Session,但都是基于客户端发送cookie来对用户身份进行识别,所以说拿到了cookie,就可以获得victim的登录状态,也就达到了会话劫持的效......
  • 所属分类:WEB安全 更新时间:2017-05-24 相关标签: 阅读全文...
  • 针对亚马逊云存储器S3 BUCKET的渗透测试
  • 在我的最后一篇关于AWS渗透测试的文章中,我们讨论了一个渗透测试者在获取云服务器凭据后能做些什么。而在本文中,我将通过一个AWS的实例让大家看到即使没有获取相关凭据,我们依然可以利用其潜在的安全漏洞,来成功......
  • 所属分类:WEB安全 更新时间:2017-05-24 相关标签: 阅读全文...
  • Web开发者安全速查表
  • 想要开发出一个安全的、健壮的Web应用其实是非常困难的,如果你觉得这实现起来非常简单的话,那么你一定是一个X炸天的程序猿,要么你就是在白日做梦…… 写在前面的话 如果你觉得你可以在一个月之内开发出一款集......
  • 所属分类:WEB安全 更新时间:2017-05-24 相关标签: 阅读全文...
  • 常见网络攻击--XSS && CSRF
  • XSS XSS全称跨站脚本攻击(Cross Site Scripting),顾名思义,就是通过向某网站写入js脚本来实现攻击。如果熟悉或了解SQL注入的话,这么一说大概就十分清楚了。 如果是刚接触web开发的同学,可能乍想不明白,自己的......
  • 所属分类:WEB安全 更新时间:2017-05-23 相关标签: 阅读全文...
  • 被忽视的Web安全漏洞:如何识别和解决?
  • 在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。 在各种类型和规模的企业中,有些网络安全人员(包括CIO和其他高管)称他们会定期扫描其网站和应用。有些人称他们的应......
  • 所属分类:WEB安全 更新时间:2017-05-23 相关标签: 阅读全文...
  • XSS 和 CSRF 攻击的一些非常规防御方法
  • 一说到安全,大家总会特别敏感,尤其是有相当部分的前端开发者并不了解安全相关的知识,颇有谈虎色变的感觉。具体到前端安全这个话题呢,又有些说不清道不明,因为大部分的防御方案,总少不了后端的参与,也有开发者......
  • 所属分类:WEB安全 更新时间:2017-05-23 相关标签: 阅读全文...
  • 挖洞经验|看我如何挖到了一个价值5K刀的谷歌“404页面”
  • 大家别慌,这是一篇很短的文章…文章虽短,但希望能给大家日常挖洞带来灵感或启发! 在今年一月份的某一天,作为一个非常喜欢搞事情的人,当时的我正在尝试寻找Google服务中可能存在的安全问题,如果能够找到满足......
  • 所属分类:WEB安全 更新时间:2017-05-22 相关标签: 阅读全文...
  • 一个简单的分布式Web扫描器的设计与实践
  • 作为一个安全从业人员,在平常的工作中总是需要对一些Web系统做一些安全扫描和漏洞检测从而确保在系统上线前尽可能多的解决了已知的安全问题,更好地保护我们的系统免受外部的入侵和攻击。而传统的web安全检测和扫描......
  • 所属分类:WEB安全 更新时间:2017-05-20 相关标签: 阅读全文...
  • 利用HSTS嗅探浏览器历史纪录的三个漏洞
  • HSTS是让浏览器强制使用HTTPS访问网站的一项安全策略。HSTS的设计初衷是缓解中间人攻击带来的风险。本文主要介绍HSTS及其他Web功能带来的一些隐私问题,比如如何利用它们来探测浏览器的用户历史纪录。 一、背景:什......
  • 所属分类:WEB安全 更新时间:2017-05-19 相关标签: 阅读全文...
  • 基于大数据和机器学习的Web异常参数检测系统Demo实现
  • 一、前言 如何在网络安全领域利用数据科学解决安全问题一直是一个火热的话题,讨论算法和实现的文章也不少。前段时间看到楚安的文章《数据科学在Web威胁感知中的应用》,其中提到如何用隐马尔可夫模型(HMM)建立web参......
  • 所属分类:WEB安全 更新时间:2017-05-19 相关标签: 阅读全文...
  • 我买的车险,如何泄漏了我的位置
  • 与大多数车险公司一样,我所购买的车险也提供了一款装在车上的卫星设备以供获取位置信息。通过在车中安装类似的设备,保险公司可以分析出你的行为。当然如果你的车辆被盗,它还可以帮助警方破案以及你可以获得一笔不......
  • 所属分类:WEB安全 更新时间:2017-05-19 相关标签: 阅读全文...
  • 暗链隐藏的N种姿势
  • 一、介绍 暗链也称黑链,即隐蔽链接,是黑帽SEO的作弊手法之一,其目的就是利用高权重网站外链来提升自身站点排名。 一般来说,暗链是由攻击者入侵网站后植入的,暗链在网页页面上不可见或者极易被忽略,但是搜索引......
  • 所属分类:WEB安全 更新时间:2017-05-17 相关标签: 阅读全文...
  • 学点算法搞安全之HMM(上篇)
  • 隐式马尔可夫(HMM),也称韩梅梅,广泛应用于语音识别、文本处理以及网络安全等领域,2009年I Corona ,D Ariu , G Giacinto三位大神关于HMM应用于web安全领域的研究论文,让HMM逐渐被各大安全厂商重视。 本篇重点......
  • 所属分类:WEB安全 更新时间:2017-05-11 相关标签: 阅读全文...
  • 学点算法搞安全之HMM(下篇)
  • 上篇我们介绍了HMM的基本原理以及常见的基于参数的异常检测实现,这次我们换个思路,把机器当一个刚入行的白帽子,我们训练他学会XSS的攻击语法,然后再让机器从访问日志中寻找符合攻击语法的疑似攻击日志。 通过......
  • 所属分类:WEB安全 更新时间:2017-05-11 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集