欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 鸡肋CSRF和Self-XSS组合的变废为宝
  • 昨天同事问了我一个问题:登录页面的CSRF有用么? 我也没怎么想,就回了句:没用。而事实上一般 SRC 也不会收这种漏洞,因为这种 CSRF 一般情况下都不会造成什么危害,甚至也不认为是漏洞(之前挖 TSRC 的时候,只要......
  • 所属分类:WEB安全 更新时间:2018-03-09 相关标签: 阅读全文...
  • Web安全学习:如何自我定位与制定学习计划
  • 一 简介 通过本篇文章,您可以了解一个web安全从业人员所具备的大致知识面,同时我也制定了一个循序渐进的学习计划,用以帮您找准自己的定位,并可以自己制定适合自己的学习计划。 二 关键词 以不求甚解的方式去看......
  • 所属分类:WEB安全 更新时间:2018-03-07 相关标签: 阅读全文...
  • 代码分享:使用Python和Tesseract来识别图形验证码
  • 各位在企业中做Web漏洞扫描或者渗透测试的朋友,可能会经常遇到需要对图形验证码进行程序识别的需求。很多时候验证码明明很简单(对于非互联网企业,或者企业内网中的应用来说特别如此),但因为没有趁手的识别库,......
  • 所属分类:WEB安全 更新时间:2018-03-05 相关标签: 阅读全文...
  • 深度研究1款结构简捷的Github数据泄漏爬虫
  • 0×01.媒介 Github作为一个代码托管平台,有着海量的开源代码和很多开发者。在代码上传时,有些开发者短缺网安认识,会在不经意间泄漏自己的暗码或者密钥。本文以这里为切入点,先容一个检索代码信息的小爬虫和在写......
  • 所属分类:WEB安全 更新时间:2017-10-19 相关标签: 阅读全文...
  • 运用Angr达到简单的CTF逆向分析符号执行
  • 1. 标记履行归纳综合 简略的来讲,标记履行便是在运转法式时,用标记来代替实在值。标记履行相较于实在值履行的长处在于,当应用实在值履行法式时,咱们可以或许遍历的法式门路只要一条,而应用标记停止履行时,因为......
  • 所属分类:WEB安全 更新时间:2017-10-19 相关标签: 阅读全文...
  • 一个网页是如何从你的手机中盗窃数据的WebUSB
  • 本年9月15日,Chrome61宣布,它启用了WebUSB作为其默许功效。而WebUSB是一个Javascript API,能够容许网页拜访已衔接的USB装备。这里的USB装备是指体系和产业的USB装备,以是不支撑罕见的USB装备(好比收集摄像头,H......
  • 所属分类:WEB安全 更新时间:2017-10-18 相关标签: 阅读全文...
  • 内核方式里的隐藏进程,反取证技术研究分析
  • 本文是引见恶意病毒木马软件的耐久性及传播性技术这一系列的第一次迭代,这些技术中大局部是研讨人员几年前发现并披露的,在此引见的目的是树立这些技术和取证方面的学问框架。 用于证明概念的代码能够在CERT的Gi......
  • 所属分类:WEB安全 更新时间:2017-09-29 相关标签: 阅读全文...
  • 怎样利用LDAP注入在二十秒以内绕开Joomla!的认证登录
  • 写在前面的话 Joomla!今朝的下载量曾经超过了8400万次了,它也曾经成为了今朝环球最热点的内容管理系统之一。据统计,今朝互联网上有约莫3.3%的网站内容和文章都是由Joomla!驱动的。 咱们的代码阐发解决方案RIP......
  • 所属分类:WEB安全 更新时间:2017-09-29 相关标签: 阅读全文...
  • 建立在ThinkPHP的两个CMS系统后台的GetShell运用
  • ThinkPHP是为了简化企业级利用开辟和迅速WEB利用开辟而诞生的,因为其简略易用,许多cms都基于该框架改写。但是 Thinkphp在缓存利用却存在缺点,天生缓存时,Thinkphp会将数据序列化存进一个php文件,这就产生了很大......
  • 所属分类:WEB安全 更新时间:2017-09-26 相关标签: 阅读全文...
  • 网站中的代码潜伏着挖矿机的JS脚本
  • 挖矿机这个名字信任人人曾经愈来愈认识,但网页版的挖矿机人人有无见过呢?克日360互联网网安中间就发明了如许一款以JavaScript剧本情势存在于网页中的挖矿机。 该剧本代码被嵌入了一个叫做“万方科技学院内网代理体......
  • 所属分类:WEB安全 更新时间:2017-09-26 相关标签: 阅读全文...
  • 蜜罐系统幕后的影子操作系统研究与探讨分析专题
  • 同样平常场景下咱们会在内部安排蜜罐系统平台,当内部有渗入渗出时,碰着蜜罐就会报警,蜜罐会去检索入侵攻击源的地位,肯定别入侵攻击机械的IP端口,获得payload数据,共同IDS咱们能够捕捉变乱的进程,而后采用对应......
  • 所属分类:WEB安全 更新时间:2017-09-21 相关标签: 阅读全文...
  • 怎样利用追踪代码来发现网站之间的“关联”
  • 前些年Lawrence Alexander颁发了一篇应用Google Analytics查找网页之间的联系关系的文章,客岁,我也宣布了一个对于若何应用Python主动发掘信息,而后将其可视化的帖子,可怜的是Meanpath API被封闭了,以是如许的技......
  • 所属分类:WEB安全 更新时间:2017-09-17 相关标签: 阅读全文...
  • 婚恋网站幕后,很大可能藏着经心设计好的社工钓鱼攻击
  • 上周末,iOS 利用 WePhone 的创始人、开发者苏享茂自尽的新闻引爆了言论,民众媒体与各大自媒体都纷繁从各个方面对此结束了报导和阐发。作为跟程序员行业密切相关的 FreeBuf,在表白对逝者的可惜与尊重的同时,也想从......
  • 所属分类:WEB安全 更新时间:2017-09-12 相关标签: 阅读全文...
  • 针对8月31日维基解密网站被入侵攻击的研究与监察
  • 一个礼拜以前,维基解密遇到了一次入侵攻击,招致许多拜访者看到了“OurMine”的申明,他们宣称曾经获得了维基解密办事器的节制权。这次进击以后,许多人(包含维基解密的粉丝及其死对头)在没有基础知识与技巧功底,......
  • 所属分类:WEB安全 更新时间:2017-09-12 相关标签: 阅读全文...
  • 跨平台宏钓鱼入侵Payload的介绍及应用门径
  • 对于渗入渗出测试职员来说,通过Microsoft Office Word文档或Excel电子表格来完成Internet钓鱼是一种非时常见的手艺,而跟着愈来愈多的企业初阶安排Mac终端,跨平台的恶意宏Payload也逐渐变得越来越须要了。 之前......
  • 所属分类:WEB安全 更新时间:2017-09-07 相关标签: 阅读全文...
  • 运用Mitmproxy辅助Sqlmap智能化应用特别破绽
  • 本文重要讲解应用 mitmproxy 辅助 sqlmap,自动化应用破绽的办法。由于笔者毫无进修更多姿态的上进心,又在处置数据库注入破绽方面才学浅陋,是以当一个破绽不能用 sqlmap 应用的时刻笔者就寸步难行了。 但同时,“......
  • 所属分类:WEB安全 更新时间:2017-09-06 相关标签: 阅读全文...
  • 聊聊鱼叉式网络钓鱼黑箱粉碎机
  • 美国加州大学伯克利分校和劳伦斯伯克利国度试验室(LBNL)的几位研讨人员开辟了鱼叉式网络垂纶黑箱破碎摧毁机,经由过程阐发鱼叉式网络垂纶进击的基本特色计划了一组新的信用特性。该组特性对应于鱼叉式网络垂纶进击......
  • 所属分类:WEB安全 更新时间:2017-09-05 相关标签: 阅读全文...
  • 利用Python完成DGA域名检测
  • 前段时间迸发的应用永恒之蓝停止打单及xshell等变乱,各大厂家都站在分歧的角度阐发了响应的变乱及法式,对付对逆向不懂得看着切实其实很费劲。上段光阴看到宫总及袁哥都在讲DNS对付阐发这类进击的可行性。 永久......
  • 所属分类:WEB安全 更新时间:2017-09-04 相关标签: 阅读全文...
  • 把PHP LFI漏洞变为Webshell的模式
  • 存眷PHP漏洞的同伙必定晓得LFI+phpinfo能够搞出一个webshell。 LFI这个前提还算失常,但phpinfo这个照样比较难凑的,以是有点鸡肋。接下来,我分享一个……异样鸡肋的思绪……人人先把屠刀放下!固然鸡肋,但思绪照样......
  • 所属分类:WEB安全 更新时间:2017-09-01 相关标签: 阅读全文...
  • Defcon 23最新开源工具NetRipper代码分析与利用
  • 0×01 研究背景 在分析了俄罗斯人被曝光的几个银行木马的源码后,发现其大多均存在通过劫持浏览器数据包来获取用户个人信息的模块,通过截获浏览器内存中加密前或解密后的数据包来得到数据包的明文数据。在Defcon 2......
  • 所属分类:WEB安全 更新时间:2017-08-21 相关标签: 阅读全文...
  • Zabbix使用Pycurl模块监控web页面状态
  • 由于网络的问题,zabbix自带web模块用不了,后台研发2b,老是更新正式环境安装包,导致一直出问题,老是给他们擦屁股,早说过这事,他们不配合,现在出问题了,挺爽j_0025.gif,这锅我表示不背,就找了pycurl这个模块......
  • 所属分类:WEB安全 更新时间:2017-08-19 相关标签: 阅读全文...
  • Brida:使用Frida进行移动应用渗透测试
  • Brida是一款 Burp Suite 扩展,作为一座桥梁连接着Burp Suite以及Frida,以帮助用户修改应用程序与后端服务器之间的通信数据为己任。在分析移动端应用时遇到应用使用随机密钥式对称加密,如果不知道其使用的密钥就无......
  • 所属分类:WEB安全 更新时间:2017-08-15 相关标签: 阅读全文...
  • 针对HTTP的隐藏攻击面分析(中)
  • 为了增强用户体验度,现代Web网站架构中都包含了各种各样的“隐藏系统”,这些系统不仅可以给用户提供各种额外的服务,而且还可以帮助管理员提取网站各方面的分析数据。但是,这些隐藏系统同样也是近些年里经常被人们......
  • 所属分类:WEB安全 更新时间:2017-08-14 相关标签: 阅读全文...
  • 针对HTTP的隐藏攻击面分析(下)
  • 在本系列文章的上集,我们对现代Web应用架构中的隐藏系统以及隐藏服务进行了简单描述,并且介绍了本系列文章中所要使用的工具以及技术。在本系列文章的中集,我们介绍了几种可以暴露目标阻止隐藏服务或隐藏系统的几种......
  • 所属分类:WEB安全 更新时间:2017-08-14 相关标签: 阅读全文...
  • Web安全之浅析命令注入
  • 命令注入是指攻击者可以能够控制操作系统上执行的命令的一类漏洞。 这篇文章将会讨论它的影响,包括如何测试它 ,绕过补丁和注意事项。 在命令注入之前,先要深入了解 的是:命令注入与远程代码执行(RCE)不一样。它......
  • 所属分类:WEB安全 更新时间:2017-08-11 相关标签: 阅读全文...
  • 基于Wi-Fi的HID注射器,利用WHID攻击实验
  • WHID 代表基于 Wi-Fi 的 HID 注射器,即对 HID 攻击进行无线化攻击的一种注入工具。 实验攻击原理如下图: 攻击者使用ESP8266作为AP,在自己的电脑创建客户端连接AP。在客户端键入命令发送到ESP8266,它再利......
  • 所属分类:WEB安全 更新时间:2017-08-08 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集