欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • Autocrack:一款强大的自动化Hash破解工具
  • 今天给大家介绍的是一款名叫Autocrack的自动化Hash破解工具。 工具介绍 实际上,Autocrack不仅是一个Python脚本,它是一个Hashcat封装器,它能够帮助渗透测试人员自动化执行Hash破解任务。这个脚本提供了多种功能......
  • 所属分类:网络安全 更新时间:2018-07-18 相关标签: 阅读全文...
  • 再解工控CTF流量分析题
  • 前言 最近有个工控安全大赛,老板让我们参加。虽然参赛的经验少,但谁叫我们是研究流量分析的呢,硬着头皮也得上。于是乎开始找题刷,然而互联网上工控CTF的题不多,只能是有一道就狠劲儿地啃一道。“工匠安全实验室......
  • 所属分类:网络安全 更新时间:2018-07-18 相关标签: 阅读全文...
  • 高级加密标准(AES)分析
  • 在密码学中,block(分组)密码的工作模式被广泛使用,使用同一个分组密码密钥对很多称之为块的数据加密,在优于很多诸如RSA、ECC密码的性能的情况下,也不失为一种安全的加密算法,今天我们将要来详细认识一下在密码......
  • 所属分类:网络安全 更新时间:2018-07-18 相关标签: 阅读全文...
  • Go代码审计:Gitea远程命令执行漏洞链
  • 这是一个非常漂亮的漏洞链,很久没见过了。我用docker来复现并学习这个漏洞,官方提供了docker镜像,vulhub也会上线这个环境。 漏洞一、逻辑错误导致权限绕过 这是本漏洞链的导火索,其出现在Git LFS的处理逻辑中。......
  • 所属分类:网络安全 更新时间:2018-07-18 相关标签: 阅读全文...
  • 建立和保持数据完整性的六个步骤
  • 如果企业想为自身创建一套安全的数字化“资料馆”,数据完整性将不可或缺。这个原则主要包含了两件需要做的事情。首先,它需要维护文件的完整性,其中包括操作系统文件、应用程序数据、配置文件数据、日志和其他关键......
  • 所属分类:网络安全 更新时间:2018-07-18 相关标签: 阅读全文...
  • GDPR施行现状:只有20%的企业合规
  • 近日,Dimensional调查组织的一项调研发现,在所有受访公司中,只有20%的企业完全符合GDPR标准,53%正处于实施阶段,27%尚未开始实施。 调查显示,欧盟27%的企业为合规状态,相比之下,美国合规企业为12%,而英国......
  • 所属分类:网络安全 更新时间:2018-07-18 相关标签: 阅读全文...
  • 分享一款用于创建DNS重绑定攻击的前端JavaScript工具包
  • 注意:本软件仅适用于教育目的,请不要将其用于非法活动,工具作者和本站对用户个人行为不负任何责任。 今天给大家介绍的是一款名叫DNS Rebind Toolkit的工具包,这是一款前段JavaScript工具包,渗透测试人员可利用......
  • 所属分类:网络安全 更新时间:2018-07-18 相关标签: 阅读全文...
  • 当心,成人网站上可能有你的视频
  • 据报道,一种新型的诈骗方式正在网络蔓延。诈骗者会向用户发送电子邮件,宣称在用户的计算机上安装了恶意软件,能够获取密码和所有联系人,并且还通过摄像头拍摄了用户的视频,上传到了成人网站。以此来要挟受害者......
  • 所属分类:网络安全 更新时间:2018-07-17 相关标签: 阅读全文...
  • LightCoin合约非一致性检查漏洞分析
  • LIGHT (光链) 是世界上第一个双层区块链(父链与子链)。其中,LIGHT 父链与传统的公链类似,有且仅有一个,保证记录完整、透明、不可被篡改或销毁。LIGHT子链可以是多个且相互独立存在,基于PoM validation方式,结......
  • 所属分类:网络安全 更新时间:2018-07-17 相关标签: 阅读全文...
  • 移动端跨越攻击预警:新型APT攻击方式解析
  • 随着信息技术的发展,移动存储介质由于其具有体积小、容量大的特点,作为信息交换的一种便捷介质,如今已经得到广泛应用,在个人、政府和企业中经常被使用。但也因此而来一直存在着持续的各种安全攻击问题,每当出现......
  • 所属分类:网络安全 更新时间:2018-07-17 相关标签: 阅读全文...
  • Hussarini——一个正将菲律宾作为攻击目标的后门
  • 在两周前,FortiGuard实验室发现了一份恶意文件,文件名称为“Draft PH-US Dialogue on Cyber Security.doc”,带有很强的政治主题。这份文件旨在利用漏洞CVE-2017-11882,一旦成功,它会在受害者的%temp%目录中放入......
  • 所属分类:网络安全 更新时间:2018-07-16 相关标签: 阅读全文...
  • 浅谈Arp攻击和利用Arp欺骗进行MITM
  • 索引 arp欺骗也是很古老的渗透手段了,主要起着信息收集的作用,比如你可以利用欺骗获取对方的流量,从流量分析你认为重要的信息,例如某某账号密码。或是利用Arp攻击,切断局域网内某一用户的网络访问(单向欺骗)......
  • 所属分类:网络安全 更新时间:2018-07-16 相关标签: 阅读全文...
  • 中国特供版Flash:死刑将至,何以再掀波澜
  • 2017年7月26日,Adobe凌晨宣布,将于2020年停止开发和分发Flash浏览器插件,并且建议内容创作者将Flash内容移植到HTML5等格式。这基本宣布了Flash 的死刑,其实早在之前,Chome、Safari等主流浏览器就已经抛弃Flash。......
  • 所属分类:网络安全 更新时间:2018-07-16 相关标签: 阅读全文...
  • 黑产军团控制四百万肉鸡集群,掘金区块链数字货币
  • 随着区块链技术的火爆,比特币、以太币、瑞波币等数字货币被持续热炒,交易市值和价格一路走高,许多人看好数字货币的发展,纷纷加入“挖矿”大军。与此同时,数字货币的火爆也伴随着挖矿黑产的兴起,不法分子将木马......
  • 所属分类:网络安全 更新时间:2018-07-16 相关标签: 阅读全文...
  • Halcyon:专门用于开发Nmap脚本的IDE
  • Halcyon是一个开源的专门设计用于开发Nmap脚本的IDE。通过Halcyon你可以开发从侦察到利用的各类Nmap高级扫描脚本。如果你想为该项目做出贡献或有任何的改进建议,请访问我们的contribute页面。 特性 相比普通的文......
  • 所属分类:网络安全 更新时间:2018-07-16 相关标签: 阅读全文...
  • 漏洞奖励计划初见成效:微软发现“幽灵”变体
  • 近日,英特尔向两位安全研究人员支付了10万美元作为漏洞奖励计划的奖金。两人发现了著名的幽灵(Spectre)漏洞的新变体,漏洞的发现者——来自麻省理工的Vladimir Kiriansky和咨询公司的Carl Waldspurger将......
  • 所属分类:网络安全 更新时间:2018-07-15 相关标签: 阅读全文...
  • 绕过SQL Server的登录触发器限制
  • 在做渗透测试任务时,我们常常会碰到一些直连SQL Server数据库的桌面应用。但偶尔也会碰到一些后端为SQL Server的应用,并且其只允许来自预定义的主机名或应用程序列表的连接。这些类型的限制通常是通过登录触发器来......
  • 所属分类:网络安全 更新时间:2018-07-15 相关标签: 阅读全文...
  • Microsoft Access Macro (.MAM) 快捷方式钓鱼测试
  • 去年,我曾发表过一篇关于创建恶意.ACCDE(Microsoft Access数据库)文件,并将其作为攻击向量进行网络钓鱼的文章。作为扩展,本文将为大家引入一种新的钓鱼方案Microsoft Access Macro“MAM”快捷方式钓鱼。MAM文件......
  • 所属分类:网络安全 更新时间:2018-07-14 相关标签: 阅读全文...
  • JOP代码复用攻击
  • 最近,我在研究代码重用攻击与防御,在此过程中发现对于rop(return-Oriented Programming)的介绍有许多,但jop(Jump-Oriented Programming)却少有提及。即使有,多数也与rop混杂在一起。因此,我决定基于论文Jump-......
  • 所属分类:网络安全 更新时间:2018-07-13 相关标签: 阅读全文...
  • 360捕获持续8年针对我国的网络间谍组织
  • 近日,360追日团队(Helios Team)、360安全监测与响应中心与360威胁情报中心发布《蓝宝菇(APT-C-12)核危机行动揭露》报告,首次披露了其捕获的持续8年攻击中国大陆地区的网络间谍组织——蓝宝菇。 据......
  • 所属分类:网络安全 更新时间:2018-07-13 相关标签: 阅读全文...
  • 从NTDS.dit获取密码hash的三种方法
  • 本文我将为大家介绍一些取证工具,这些工具在渗透测试中将会对我们起到很大的帮助。例如当你提取到了大量的主机内部文件时,你可会发现其中包含如NTDS.dit和系统hive,那么你将可能需要用到下面的这些工具,来帮助你......
  • 所属分类:网络安全 更新时间:2018-07-13 相关标签: 阅读全文...
  • CMSeeK:CMS漏洞检测和利用套件
  • CMSeeK是一个CMS的漏洞检测和利用套件。 已发布版本 - Version 1.0.1 [19-06-2018] - Version 1.0.0 [15-06-2018] Changelog文件 特性 支持20多种CMS的基本CMS检测 高级Wordpress扫描 版本检测 用户检测(3......
  • 所属分类:网络安全 更新时间:2018-07-13 相关标签: 阅读全文...
  • SSH 暴力破解趋势:从云平台向物联网设备迁移
  • 导语:近日,腾讯云发布2018上半年安全专题系列研究报告,该系列报告围绕云上用户最常遭遇的安全威胁展开,用数据统计揭露攻击现状,通过溯源还原攻击者手法,让企业用户与其他用户在应对攻击时有迹可循,并为其提供......
  • 所属分类:网络安全 更新时间:2018-07-13 相关标签: 阅读全文...
  • 以太坊智能合约OPCODE逆向之理论基础篇
  • 在我们对etherscan等平台上合约进行安全审查时,常常会遇到没有公布Solidity源代码的合约,只能获取到合约的OPCODE,所以一个智能合约的反编译器对审计无源码的智能合约起到了非常重要的作用。 目前在互联网上常见......
  • 所属分类:网络安全 更新时间:2018-07-12 相关标签: 阅读全文...
  • 数据安全分析思想探索
  • 日志分析在入侵检测中的应用越来越广泛,合适的使用日志,使日志产生巨大的价值,本文旨在探讨如何让日志的价值在安全领域发挥作用。 安全日志分析的目的意义 1.通过对企业内部的各项数据进行汇总关联分析,如防火......
  • 所属分类:网络安全 更新时间:2018-07-12 相关标签: 阅读全文...
  • 方程式组织DanderSpritz工具测试环境研究
  • DanderSpritz是NSA泄露的一款著名的界面化远控工具,由于其功能强大因此也成为了许多安全人员争相研究的对象。但在实际测试过程中,由于缺少说明文档,所以问题也层出不穷。而DanderSpritz lab就是为了解决这些问题而......
  • 所属分类:网络安全 更新时间:2018-07-12 相关标签: 阅读全文...
  • 浅谈信息安全管理体系建设
  • 信息安全管理体系(ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 ......
  • 所属分类:网络安全 更新时间:2018-07-11 相关标签: 阅读全文...
  • Mquery:一款带有Web前端的YARA恶意软件查询加速器
  • 搜索特定恶意软件样本很困难?不用怕,今天给大家介绍一款名叫Mquery的工具,它带有友好的Web前端界面,可帮助大家迅速寻找到自己想要的恶意软件样本。多亏了我们的UrsaDB数据库,正是因为有了它,Mquery才可以在一眨......
  • 所属分类:网络安全 更新时间:2018-07-11 相关标签: 阅读全文...
  • 空手套白狼?USDT 假充值逻辑缺陷漏洞利用分析
  • 前言 6月28日,慢雾科技发布了一条针对 USDT 的预警和漏洞分析,提醒各大交易所尽快暂停 USDT 充值功能,并自查代码是否存在该逻辑缺陷。全文如下: #预警# #漏洞分析# 交易所在进行 USDT 充值交易确认是否成功时......
  • 所属分类:网络安全 更新时间:2018-07-10 相关标签: 阅读全文...
  • VIVO NEX魔性摄像头,不仅能拍照还能排雷?
  • 现今,“全面屏”已然成为了智能手机的标配,没个全面屏手机,都不好意思叫自己手机厂商。随着VIVO NEX的推出,也真正出现了突破90%屏占比的手机,成为最接近“全面屏”的手机。这款手机也不出意外的火遍了大江南北。......
  • 所属分类:网络安全 更新时间:2018-07-09 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集