欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • SLUB后门使用Slack等进行通信
  • 研究人员近期发现一个非常有意思的恶意软件。首先,该恶意软件通过水坑攻击进行传播,水坑攻击是指攻击者进入入侵用户要访问的网站,并加入恶意代码,然后用户访问该网站时就会被重定向到受感染的代码。在该攻击活动......
  • 所属分类:网络安全 更新时间:2019-03-18 相关标签: 阅读全文...
  • 如何通过监视器像素颜色值传输数据
  • 假设要将数据从一台计算机传输到另一台计算机。如果使用公共电子邮件服务、FTP或任何其他协议,很容易被诸如DLP(数据丢失防护)之类的软件捕获。因此,可以通过监视器像素颜色值(监视器屏幕作为转换通道)对数据进......
  • 所属分类:网络安全 更新时间:2019-03-18 相关标签: 阅读全文...
  • 云安全进化论
  • 经过2018年的各大传统安全厂商、云安全厂商、以及甲方安全研发的排兵布阵,中国的安全市场态势有了很大的改变。这些变化主要体现在安全产品的云化(CDN+云安全解决方案)、云厂商开始侵蚀传统安全市场(例如:政务云......
  • 所属分类:网络安全 更新时间:2019-03-18 相关标签: 阅读全文...
  • Kerberos协议探索系列之委派篇
  • 在前两节中说到了关于Kerberos的扫描和Kerberoasting以及金票的利用,本文主要说明一下在kerberos体系中关于委派的利用方式,委派在域环境中其实是一个很常见的功能,对于委派的利用相较于先前说的几种攻击方式较为“......
  • 所属分类:网络安全 更新时间:2019-03-18 相关标签: 阅读全文...
  • 浅谈从IT治理的角度看企业建设
  • 最近在看一些IT治理和企业管理的资料,觉得这种管理层面的理论更偏向于宏观层面,考虑的更为广泛和细致,而且老外的思维和我们确实不太一样,有时候要一改之前的思考方式,换角度看问题,去年看《GDPR》的时候,真的......
  • 所属分类:网络安全 更新时间:2019-03-17 相关标签: 阅读全文...
  • 聚焦3.15 | 虚假保健品泛滥,保健品行业安全态势报告
  • 随着人民生活水平提高,老龄化进程加重,保健品需求也越来越大,使得不少保健品企业野蛮生长,近期,“保健”市场暴露出来的虚假宣传、消费欺诈、制假售假等突出问题,引发广泛关注。2018年底丁香医生揭露权健事件引......
  • 所属分类:网络安全 更新时间:2019-03-17 相关标签: 阅读全文...
  • BloodHound工具的攻防使用拉锯战
  • 对于企业内部负责网络安全部分的人来说,能够将新出现的攻击的捕获周期降到最低,才是他们的最终目的,这样不但能降低损害程度,而且补救成本也很低。他们经常希望的最理想的安全方式就是通过尝试入侵来进行测试,可......
  • 所属分类:网络安全 更新时间:2019-03-17 相关标签: 阅读全文...
  • 315晚会上没告诉你的骚扰电话套路,这里都有
  • 昨天315晚会大家都看了吗? 如果没看的话,我先带大家复习一下昨天晚上都说了哪些事情 1、医疗垃圾 2、危险的辣条 3、“化妆”的土鸡蛋 4、缺德的智能骚扰电话 5、资质证书岂能如此挂靠 6、不卫生的卫生用品 ......
  • 所属分类:网络安全 更新时间:2019-03-17 相关标签: 阅读全文...
  • SSRFmap:一款功能强大的自动化SSRF模糊测试&漏洞利用工具
  • SSRF,即服务器端请求伪造,很多网络犯罪分子都会利用SSRF来攻击或入侵网络服务。今天我们给大家介绍的这款工具名叫SSRFmap,它可以寻找并利用目标网络服务中的SSRF漏洞。 SSRFmap以Burp请求文件作为输入,研究人......
  • 所属分类:网络安全 更新时间:2019-03-15 相关标签: 阅读全文...
  • Sh00t:一个渗透测试管理工具
  • Sh00t是一个高可定制的渗透测试管理工具,它强调让测试人员手动进行安全测试,并让你专注于执行安全测试任务的本身。此外,Sh00t还为我们提供了测试用例的待办事项清单,以及可以使用自定义的漏洞报告模板来生成漏洞......
  • 所属分类:网络安全 更新时间:2019-03-15 相关标签: 阅读全文...
  • 聚焦凭据窃取:针对房地产代理商的新型网络钓鱼活动分析
  • 近一段时间,持续有攻击者滥用多个房地产特许经营品牌,针对房地产经纪人发起网络钓鱼活动,旨在获取他们的电子邮件凭据。尽管这并非是首次以房地产行业为目标发动攻击,但本文重点描述了攻击者所使用的深入战术、技......
  • 所属分类:网络安全 更新时间:2019-03-15 相关标签: 阅读全文...
  • AES加密的安全问题
  • aes加密简介 AES算法全称Advanced Encryption Standard,是DES算法的替代者,旨在取代DES成为广泛使用的标准,于2001年11月26日发布于FIPS PUB 197,并在2002年5月26日成为有效的标准。2006年,高级加密标准已然成为......
  • 所属分类:网络安全 更新时间:2019-03-15 相关标签: 阅读全文...
  • #OpJerusalem 2019——一场“开年不顺”的勒索软件攻击行动
  • 最近几天,一场名为#OpJerusalem的恶意行动正悄然展开,此次行动使用了一种新型的勒索软件,让世界各地的部分用户受到了感染。SI-LAB对该恶意软件分析后发现,此恶意软件所使用的技术并不复杂。恶意软件由Go编写,用......
  • 所属分类:网络安全 更新时间:2019-03-12 相关标签: 阅读全文...
  • Spring Security学习笔记(一)基础介绍Ⅱ
  • Spring Security 5.1.4 RELEASE 书接上文,在上一篇中介绍了Spring Security的基本组件以及基本的认证流程,此篇介绍一下Spring Security的一些核心服务。 2 核心服务 Spring Security中还有许多十分重要的接口......
  • 所属分类:网络安全 更新时间:2019-03-12 相关标签: 阅读全文...
  • EOS新型攻击手法之 hard_fail 状态攻击
  • 昨日(2019 年 3 月 10 日)凌晨,EOS游戏 Vegas Town(合约帐号 eosvegasgame)遭受攻击,损失数千 EOS。慢雾安全团队及时捕获这笔攻击,并同步给相关的交易所及项目方。本次攻击手法之前没有相同的案例,但可以归为......
  • 所属分类:网络安全 更新时间:2019-03-12 相关标签: 阅读全文...
  • 谭晓生:七年之痒,RSAC2019之我观
  • 从2013年开始参加RSAC,今年正好是第七年。婚姻中有“七年之痒”的说法,对一个会议也有类似感觉:很多东西已经熟悉,新鲜感没那么强了,但还有比新鲜更重要的东西:持久、稳定、可依靠。 去年RSAC的时候Moscone Ce......
  • 所属分类:网络安全 更新时间:2019-03-12 相关标签: 阅读全文...
  • 为了追查盗照片的人,我在网上叫了个小姐
  • 我擅长的是网络追踪、信息情报收集,而实地调查则是毫无经验。 这是我第一次实地调查,但不会是最后一次,因为我觉得它比网络追踪还要刺激,就像剥洋葱似的,一层一层,直到最里面——真相。 这次的调查......
  • 所属分类:网络安全 更新时间:2019-03-12 相关标签: 阅读全文...
  • 通过libFuzzer实现结构敏感型的模糊测试技术(下)
  • 针对状态API的模糊测试 到目前为止,我们已经讨论了针对使用单个结构化输入的API的模糊测试方法。不过,有些API可能与前面介绍的API差距甚大。例如,有些API不会直接使用数据,相反,它们是由许多函数组成的,并且仅......
  • 所属分类:网络安全 更新时间:2019-03-11 相关标签: 阅读全文...
  • 通过libFuzzer实现结构敏感型的模糊测试技术(上)
  • 生成型Fuzzer通常以单一输入类型为目标,根据预定义的语法来生成输入数据,例如csmith(可以生成有效的C程序)和Peach(能够生成任何类型的输入,但需要将这种类型表示为语法定义形式)。 对于覆盖率导向的突变型Fu......
  • 所属分类:网络安全 更新时间:2019-03-11 相关标签: 阅读全文...
  • 与brushaloader共舞
  • 一、总结 在过去几个月中,思科Talos一直在监控各种恶意软件分发活动,他们利用恶意软件加载程序Brushaloader向系统提供恶意软件载荷。当前Brushaloader的特点是使用各种脚本,如PowerShell,以最大限度地减少受感染......
  • 所属分类:网络安全 更新时间:2019-03-08 相关标签: 阅读全文...
  • SOC第一防御阶段——理解攻击链和基本防御方法
  • 本文将会帮助你理解现代网络威胁以及任何恶意软件和网络攻击常用的攻击手法。很多时候,网络攻击都是分阶段进行的,所以安全运营中心(SOC)团队必须要了解攻击模式和攻击链。 所以打破他们的攻击链并阻止他们的犯罪意......
  • 所属分类:网络安全 更新时间:2019-03-08 相关标签: 阅读全文...
  • CRXcavator——让Chrome扩展更安全
  • 浏览器是我们进行网络作业的最主要途径,不过这也使得它成为了攻击者最青睐的目标。以chrome为例,许多用户和企业在学习和工作中经常会需要用到各种各样不同需求的插件,结果导致chrome插件越装越多,chrome浏览器也......
  • 所属分类:网络安全 更新时间:2019-03-08 相关标签: 阅读全文...
  • 中国女性比男性赚钱少,被骗损失却更高?真相是…
  • 据《2019中国职场性别差异报告》统计显示,2018年中国女性平均薪酬为6497元,薪酬均值为男性的78.3%。而随着工作年限增长,薪酬差异逐渐拉大。虽然女性平均薪酬低于男性,然而遭遇网络诈骗之后人均损失金额却高于男性......
  • 所属分类:网络安全 更新时间:2019-03-08 相关标签: 阅读全文...
  • 微软安全报告显示去年网络钓鱼攻击有所增加
  • 微软发布了一份新的安全报告,显示了去年网络钓鱼攻击数量增加。该报告着重于2018年1月至12月发生的攻击。报告还显示,同一时期发生与恶意软件相关的攻击有所减少。根据报告显示,2018年网络钓鱼攻击增加了250%,而恶......
  • 所属分类:网络安全 更新时间:2019-03-07 相关标签: 阅读全文...
  • 软件供应链安全威胁:从“奥创纪元”到“无限战争”
  • 在2018年5月到12月,伴随着阿里安全主办的软件供应链安全大赛,我们自身在设计、引导比赛的形式规则的同时,也在做着反思和探究,直接研判诸多方面潜在风险,以及透过业界三方的出题和解题案例分享,展示了行业内一线......
  • 所属分类:网络安全 更新时间:2019-03-07 相关标签: 阅读全文...
  • RSA 2019丨NSA内部开源反汇编工具集Ghidra
  • NSA发布了内部开源逆向工程工具Ghidra,可用于从应用程序中搜查安全漏洞和其它问题。 剧透预警: 它受Apache 2.0许可,现在已可下载,并要求Java运行时。NSA保证称并未在其中安装任何后门。 著名的“圣诞节灯光黑......
  • 所属分类:网络安全 更新时间:2019-03-06 相关标签: 阅读全文...
  • De-DOSfuscator一款对cmd.exe执行命令进行记录的工具
  • flare-qdb是由fireeye开发,旨在帮助分析人员提高分析效率。flare-qdb是一个命令行工具,基于python开发,其中的虚拟代码执行使用了python的vivisect库,工具可以很方便的用来查询和改变二进制样本运行时的状态变量,......
  • 所属分类:网络安全 更新时间:2019-03-06 相关标签: 阅读全文...
  • GoBrut:一个新的GoLang僵尸网络
  • 一、简介 用Go编程语言编写的恶意软件始于十年前,在2009年Go编程语言首次公开发布的几年之后:例如,2012年开始发布的InfoStealer样本,进行网络犯罪活动,最终成为Sofacy的一个先进和现代化的网络军火库。很久之前......
  • 所属分类:网络安全 更新时间:2019-03-06 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集