31C3 CTF web关writeup

∑-TEAM / 2015-01-07

31c3 CTF 还是很人性化的,比赛结束了之后还可以玩。看题解做出了当时不会做的题目,写了一个writeup。
英文的题解可以看这里https://github.com/ctfs/write-ups/tree/master/31c3-ctf-2014/web
0x01 pCRAPp

常见的HTTPS攻击方法

∑-TEAM / 2014-12-24

研究常见的https攻击方法

Beast crime breach,并针对https的特性提出一些安全部署https的建议。

针对于HTTPS的攻击,多存在于中间人攻击的环境中,主要是针对于HTTPS所使用的压缩算法和CBC加密模式,进行side-channel-attack。这几类攻击的前置条件都比较苛刻,且都需要受害主机提交很多次请求来收集破译关键数据的足够信息。

OAuth 安全指南

∑-TEAM / 2014-05-17

这篇文章讲了OAuth 和 OpenID容易出现漏洞的一些地方。不管是程序员还是黑客,阅读它都会对你大有裨益。

就OAuth本身而言有一套很严谨的结构,但是很多开发者在部署AOuth的时候因为疏忽产生很多安全隐患,这些隐患如果被攻击者利用,是很难防御的。

弱随机化种子漏洞科普

∑-TEAM / 2014-04-15

上周我参加了一个Bishop Fox和BYU大学举办的CTF比赛,在比赛过程中我决定尝试一下入侵一下计分系统,并且我把入侵的过程记录了下来。

尽管客户端的token欺骗已经不是什么新鲜事了,但是这次的入侵过程可以作为weak randomness漏洞的一个很好的练习。(这次攻击目标所使用的框架并不是像Rails一样常用的框架)

最后说一句:这个漏洞是框架自己带有的而不是Bishop Fox 或者是 BYU的问题。

使用netcat进行反弹链接的shellcode

∑-TEAM / 2014-04-03

from:http://morgawr.github.io/hacking/2014/03/29/shellcode-to-reverse-bind-with-netcat/

这篇文章主要是谈,在远程溢出时怎样构造shellcode,才能形成一个有效的反弹链接。

随机分类

区块链 文章:2 篇
网络协议 文章:18 篇
Python安全 文章:13 篇
逆向安全 文章:70 篇
企业安全 文章:40 篇

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮