零基础专区
-
技术研究 | Docker安全实践分享
1、序章 随着Docker技术近年来的高速发展和广泛使用,众多互联网公司陆续采用Docker技术作为核心业务的Paas层支撑。那么势必在Docker技术下会给安全技术体系带来新的挑…
-
Webshell免杀的一些思考
最近看了很多关于webshell的文章,真的是觉得受益匪浅。于是产生想写一篇属于自己文章的想法,本文很多地方加入了自己的思考,并且干货满满。希望大家可以关注我的专栏。 既然我们要研…
-
伊朗黑客攻击以色列供水设施
近日,一个伊朗黑客组织攻击了一个不安全的以色列水利设施。黑客还将视频发布到互联网上,以显示攻击成功的可信度。工业网络安全公司 OTORIO 的专家通报了伊朗黑客组织入侵 HMI(人…
-
FreeBuf早报 | 起底10万个微信号灰色利益链;2021加密犯罪报告:竞争导致暗网市场洗牌
全球动态 1. 谷歌商城仍有不少应用没有跟进修复Play Core Library漏洞 近日谷歌对存在于 Google Play Core Library 中的安全漏洞进行了修复,…
-
伪装者活动:针对Telegram特定用户的攻击
近期毒霸安全团队通过“捕风”威胁感知系统捕获一类新的Gh0st远控木马变种,该木马变种通过虚假的Telegram的安装程序从而给用户电脑植入后门。此类远控木马是Gh0st远控木马修…
-
如何保护你的密码:应用侧数据库&redis密码加密实践
1. 应用密码安全定义 应用密码包含:数据库密码、redis密码、通讯密码、pin密钥等。 本文的目标是确保上述密码在应用中不以明文形式,而是以加密形式存在,并且加密机制要相对安全…
-
挖洞经验 | 由postMessage引发并可导致Facebook账户劫持的DOM XSS
利用第一个漏洞可以通过postMessage方式从facebook.com网站中发送跨域(cross-origin)消息,存在漏洞的路径会接收攻击者在请求参数中构造的控制内容,同时…
-
关于PHP编码安全—Hack之路
关于PHP编码安全 弱数据类安全 由于PHP的弱数据特性,早就了PHP的易学和易用。PHP在使用双等于号的时候(==),不会严格检验传入的变量类型,同时在执行的过程中可以将变…
-
使用Metasploit技术进行漏洞利用—Hack之路
使用Metasploit技术进行漏洞利用 首先对Linux目标机进行扫描,收集可用的服务器信息。使用Nmap扫描并查看系统开放端口和相关的应用程序收集到目标机相关信息后…
-
渗透测试关于建立Web后门—Hack之路
渗透测试关于建立操作系统后门在上篇文章中说到对靶机进行渗透拿到基本权限,因为并没有成功况且在很多情况下是拿不下服务器的,在这种情况下进行提权教学是明显多余的,所以我们这篇文章将如何…
-
最常见web漏洞SQL注入漏洞—Hack之路
SQL注入漏洞什么是SQL注入漏洞 SQL注入漏洞未PHP研发人员所熟知。它是所有漏洞类型中危害最严重的漏洞之一,SQL注入漏洞,主要是通过伪造客户端请求,把SQL命令提交…
-
逻辑漏洞挖掘—Hack之路
介绍逻辑漏洞 逻辑漏洞就是指攻击者利用业务的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改、 越权访问、密码找回、交易支付金额等功能处。其中越权访问又有水平越权和垂直…
-
WhatsApp搞事情?要么跟Facebook共享你的数据,要么删除你的账号!
事件概述 根据国外媒体的最新报道,WhatsApp在本周周一更新了他们的隐私政策和服务条款,并在其中增加了处理用户数据的信息之后,该公司现在正通过其移动应用程序通知用户,即从今…
-
致远OA 文件上传漏洞
0x01漏洞简述 2021年01月08日,360CERT监测发现致远OA发布了致远OA的风险通告,漏洞等级:严重,漏洞评分:9.8。 致远OA旧版本某些接口存在未授权访问,攻击…
-
Babuk Locker:2021年第一个新型企业级勒索软件正式上线!
事件概述 万恶的2020刚刚过去,新的一年已经到来。但是,“好景不长”!对于网络安全生态系统来说,随着新年一起到来的还有一款名为Babuk Locker的新型勒索软件,而这款勒…
-
1月8日每日安全热点 – TOP25游戏公司百万账号被销售
漏洞 Vulnerability FortiWeb 多个高危漏洞安全通告 https://cert.360.cn/warning/detail?id=6a0e456cd5ec4a2…
-
FortiWeb 多个高危漏洞安全通告
0x01事件简述 2021年01月07日,360CERT监测发现FortiWeb发布了FortiWeb 多个高危漏洞的风险通告,漏洞编号有CVE-2020-29015,CVE-…
-
1月7日每日安全热点 – 多个游戏公司的员工账户信息在暗网销售
漏洞 Vulnerability CVE-2020-17518/17519:Apache Flink 目录遍历漏洞 https://cert.360.cn/warning/deta…
-
CVE-2020-17518/17519:Apache Flink 目录遍历漏洞
0x01漏洞简述 2021年01月06日,360CERT监测发现Apache Flink发布了Apache Flink 目录穿越漏洞,目录穿越漏洞的风险通告,漏洞编号为CVE-…
-
1月6日每日安全热点 – 意大利的Ho-Mobile数据库中有250万个帐户被盗
安全研究 Security Research 深入了解SolarWinds https://blog.qualys.com/vulnerabilities-research/202…
-
1月5日每日安全热点 – 日本川崎航空公司客户数据泄露
漏洞 Vulnerability CVE-2020-29583: zyxel 默认凭据漏洞通告 https://cert.360.cn/warning/detail?id=1d76…
-
子域名探测方法大全
子域名探测 通过收集子域名信息来进行渗透是目前常见的一种手法。子域名信息收集可以通过手工,也可以通过工具,还可以通过普通及漏洞搜索引擎来进行分析。在挖SRC漏洞时,子域名信息的收集…
-
中国蚁剑下载安装教程
中国蚁剑下载、装置、运用教程 我国蚁剑是一款开源的跨平台网站管理东西,它主要面向于合法授权的浸透测试安全人员以及进行惯例操作的网站管理员。 通俗的讲:我国蚁剑是 一 款比菜刀还牛的…
-
蚁剑asp和php一句话马流量加密
最近测试某 asp 站点的时候,上传了Webshell,直接写死执行代码的马可以成功访问并执行;可是如果是正常的 eval 马,直接访问是倒是可以,但蚁剑直接连接会超时。这时候考虑…
-
burpsuite插件开发总结
0x00基础 burpsuite api: 接口: 用java开发插件就把这个burp文件夹放到工程目录即可 Java文档 在线版 https://portswigger.net/…
-
关于网络安全就业需要掌握的技能—Hack之路
关于网络安全就业需要掌握的技能 在Hack之路博客里我们学习完毕之后可以就业什么职业呢?Hack之路博客站点主线路在于,培训与普及渗透测试就业方向技能(1)从白帽工具到熟练使用,利…
-
SQLMAP安装教程与利用SQL注入—Hack之路
SQLMAP安装SQLMAP安装之前,首先需要安装PYTHON环境,这里安装的2.7版本的python,下载地址:https://www.python.org/ftp/python…
-
hack必备工具Burpsuite的安装教程—Hack之路
hack必备工具在windows10的Burpsuite的安装教程burpsuit是hack必备的抓包改包和爆破密码等等的利用工具,关于这类工具,只限于本地测试网站安全,请在国家法…
-
安装VM虚拟机并安装测试系统—Hack之路
VM虚拟机安装 关于VM虚拟机安装,目前VM最新版是vm15,小编最爱用VM12最经典的版本,下载链接 链接:https://pan.baidu.com/s/1PZWIYPKSkl…
-
防止全局变量覆盖—Hack之路
防止全局变量覆盖 在PHP全局变量功能开启的情况下,传递过来的数据会被直接注册为全局变量使用,如图2-6所示。在关闭的情况下,PHP会把接收到的数据存放在规定好的全局数组中如:re…
-
关于PHP项目的安全配置—Hack之路
关于PHP项目的安全配置1.信息屏蔽信息屏蔽可以有效防止服务器的信息泄露,避免被攻击者获取服务器信息并为下一步攻击做准备,这些信息包括服务器的操作系统,版本,及各种配置信息,因此我…
