/ 2014-04-04
Gopher 协议是 HTTP 协议出现之前,在 Internet 上常见且常用的一个协议。当然现在 Gopher 协议已经慢慢淡出历史。但是经过部分测试,发现阿里云的 libcurl 还是支持 Gopher 协议的,在实际环境中可能会有更多。
Gopher 协议可以做很多事情,特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache,也可以进行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。
/ 2014-04-04
文章讲得所有内容都是用的DNS本身设计的功能,但是没有想到可被利用的地方。
讨论的范围仅是利用DNS本身攻击。
所以不会讨论下面的DNS攻击,如:
DNS污染 DNS错误配置(域传送等) DNSSec
/ 2014-04-04
目前越来越多的人称为勒索软件的受害者,恶意软件会加密你的计算机直到你愿意交保护费,最新的趋势发现,网站已经成为犯罪分子的攻击目标,犯罪软件会加密你的数据库直到你付钱。
/ 2014-04-04
作者:Francisco Falcón
题目:Exploiting CVE-2015-0311: A Use-After-Free in Adobe Flash Player
/ 2014-04-04
有看过卫星电视吗?对里面丰富的电视频道和广播电台是否感到非常惊讶?你有没有想过了解卫星电话或卫星网络(satellite-based Internet connections)是如何运作的?如果我告诉你,除了娱乐,交通和天气外卫星Internet还有更多的使用方法。更多,更多的...
/ 2014-04-04
对于一些攻击者而言,exp能稳定的利用是很重要的。换言之,exp在运行特定flash版本的特定平台的系统上,exp要每次都能导致代码执行。编写这种高质量的exp的途径之一就是利用高质量的bug(也就是主动因素都利用编写稳定利用的exp).此文讨论的就是利用一个这种类型的bug,并讨论它适合编写稳定利用的exp的因素。
/ 2014-04-04
前两天,心伤的胖子发表了一篇《浅谈基于 NTP 的反射和放大攻击》
我之所以又写一篇和NTP有关的文章,是因为前面有些东西没提,或说的不够清楚,浅陋之处,欢迎大家指正留言,我再求教改进。
名词解释:
/ 2014-04-04
基于PKI体系的SSL/TLS协议近年来暴出很多安全问题,比如著名的HeartBleed、POODLE攻击和Freak攻击等,2014年关于SSL/TLS协议证书验证问题的CVE有成千个。针对SSL协议在实现中暴露出的各种问题,这里我们讨论一下现有的加固和防范方案,主要包括四个方面:
/ 2014-04-04
由于应用越来越多的需要和其他的第三方应用交互,以及在自身应用内部根据不同的逻辑将用户引向到不同的页面,譬如一个典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面,整个过程中如果实现不好就可能导致一些安全问题,特定条件下可能引起严重的安全漏洞。
/ 2014-04-04
如果你从未听过服务端模板注入(SSTI)攻击,或者不太了解它是个什么东西的话,建议在继续浏览本文之前可以阅读一下James Kettle写的这篇文章。
/ 2014-04-04
随着互联网web和信息技术的发展,在web后端作为存储和管理的的数据库也得到了广泛的应用,与web结合较为紧密的数据库包括Mysql,Sqlserver,Oracle,Sqllite,Db2,Access等等。 数据存储和管理作为应用的一个基本需求,在绝大多数的应用里都得到了使用,这种大面积的使用也意味着在数据库操作方面如果处理不当出现问题的可能性会很大,另外一方面由于数据库承载了应用的数据信息,如果数据库出现问题一方面可能导致敏感数据的泄露和篡改(如信用卡账户,用户密码,管理账户和密码,销售记录等等),直接导致损失和应用被攻陷,另外一方面,即使数据库中不承载较为敏感的信息,由于数据库的特殊性,数据库被攻击的话也可以直接导致应用程序崩溃及其他严重的后果。
/ 2014-04-04
今天上午@360Vulcan 共享了我们针对Hacking Team泄露的 Flash 0day漏洞的技术分析(http://blogs.360.cn/blog/hacking-team-part2/和http://blogs.360.cn/blog/hacking-team-flash-0day/),为了在IE和Chrome上绕过其沙盒机制完全控制用户系统,Hacking Team还利用了一个Windows中的内核驱动: Adobe Font Driver(atmfd.dll)中存在的一处字体0day漏洞,实现权限提升并绕过沙盒机制。
|
|
godownNB |
|
|
Article_kelp抱歉有一段时间没有关注过tttang了所以没有看到评论,这里做出下回答(有疑问可 |
1 |
123456lala师傅,你好,<模块名>.__spec__.__init__.__globals_ |
D |
DRKING牛!感谢 |
|
|
Article_kelp因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s |