/ 2014-04-04
基于PKI体系的SSL/TLS协议近年来暴出很多安全问题,比如著名的HeartBleed、POODLE攻击和Freak攻击等,2014年关于SSL/TLS协议证书验证问题的CVE有成千个。针对SSL协议在实现中暴露出的各种问题,这里我们讨论一下现有的加固和防范方案,主要包括四个方面:
/ 2014-04-04
作者:Francisco Falcón
题目:Exploiting CVE-2015-0311: A Use-After-Free in Adobe Flash Player
/ 2014-04-04
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅读和编写。同时也易于机器解析和生成。它基于JavaScript Programming Language, Standard ECMA-262 3rd Edition - December 1999的一个子集。 JSON采用完全独立于语言的文本格式,但是也使用了类似于C语言家族的习惯(包括C, C++, C#, Java, JavaScript, Perl, Python等)。这些特性使JSON成为理想的数据交换语言。
/ 2014-04-04
许多朋友都希望Hacking套件可以很方便的从PC移植到更便携的手机或平板电脑上,而Offensive Security团队发布的Kali NetHunter则将这一期待变为现实,通过移动终端随时随地进行Hacking,暂且美其名曰口袋Hacking.
Kali NetHunter是以Nexus(手机/平板)为基本硬件设备(新增对1+手机的支持),基于原生Android实现的便携渗透测试平台.熟悉的Kali使其易于上手,而图形化控制界面则使某些测试更易.基于此平台,工程师们也可自由发挥,加入个人项目.
/ 2014-04-04
有看过卫星电视吗?对里面丰富的电视频道和广播电台是否感到非常惊讶?你有没有想过了解卫星电话或卫星网络(satellite-based Internet connections)是如何运作的?如果我告诉你,除了娱乐,交通和天气外卫星Internet还有更多的使用方法。更多,更多的...
/ 2014-04-04
作者:Francisco Falcón
三月初我们发布了一篇分析CVE-2015-0311(Flash Player的UAF)的博文,我们概述了如何在Windows 7 SP1上进行利用。我们在博文的末尾提到,该博文叙述的利用过程并不适用于较新版本的Windows,如Windows 8.1 Update 3,原因是新操作系统平台所采用的的漏洞利用缓解技术---|控制流防护(CFG)。
/ 2014-04-04
昨天又是忙碌的一天,因为我获知近期有破壳漏洞利用攻击,所以我们团队集合起来对所有近期的捕获到的互联网交叉流量中的ELF文件威胁 (ELF threats)进行检测。我查看了一套shell脚本的命令部分,立刻就知道它基本上就是Linux/XOR.DDoS木马。我又检查了payload,并且深入查看了细节。最终确定这就是Linux/XOR.DDoS。
/ 2014-04-04
这段时间有不少漏洞突然爆发,就像这几天的ImageMagick漏洞,横扫国内互联网。这一两天在乌云@Noxxx首先发了两个大厂商的FFmpeg的漏洞,然后也被其他白帽子陆续提交漏洞。影响范围和严重性虽然没有ImageMagick大,但也有不少大厂商中招,而它们共同之处都是处理文件的通用组件程序。可笑的是这个漏洞在上年五月份左右就被公布,并在国外一些CTF比赛中应用;直至现今国内的大厂商基本也都存在该漏洞。
/ 2014-04-04
SSL/TLS协议是网络安全通信的重要基石,本系列将简单介绍SSL/TLS协议,主要关注SSL/TLS协议的安全性,特别是SSL规范的正确实现。 本系列的文章大体分为3个部分:
/ 2014-04-04
由于应用越来越多的需要和其他的第三方应用交互,以及在自身应用内部根据不同的逻辑将用户引向到不同的页面,譬如一个典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面,整个过程中如果实现不好就可能导致一些安全问题,特定条件下可能引起严重的安全漏洞。
/ 2014-04-04
文章讲得所有内容都是用的DNS本身设计的功能,但是没有想到可被利用的地方。
讨论的范围仅是利用DNS本身攻击。
所以不会讨论下面的DNS攻击,如:
DNS污染 DNS错误配置(域传送等) DNSSec
/ 2014-04-04
今天看到zone里有同学发帖说了探测支付宝登录状态的帖子:http://zone.wooyun.org/content/17665
由此我想到了我们parsec的@/fd 半年前提到的一个思路,当时他给出了一个探测twitter是否登录的页面,可是我那个时候才疏学浅,好像一直没理解。这时候返回去看看,就有了这篇文章。
|
|
godownNB |
|
|
Article_kelp抱歉有一段时间没有关注过tttang了所以没有看到评论,这里做出下回答(有疑问可 |
1 |
123456lala师傅,你好,<模块名>.__spec__.__init__.__globals_ |
D |
DRKING牛!感谢 |
|
|
Article_kelp因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s |