利用JSONP进行水坑攻击

大学生 / 2015-06-15

前几天安全研究者Jaime Blasco发现了在中国某些特定主题的网站被进行了水坑攻击,攻击方法有一定多样性,其中存在一些比较少见于此类型攻击中的技术,不过其实是比较早的技术了,国内猥琐流已经玩了很久的玩意。攻击类型的多样性在于,该安全公司并非追踪到了某个攻击组织的多次活动,而是某个特定主题网站的多次攻击。

XSSI攻击利用

大学生 / 2015-04-27

PS: MBSD是一家日本安全公司,最近好像经常分享技术文档的样子。
Cross Site Script Inclusion (XSSI) 跨站脚本包含是一种攻击技术允许攻击者通过恶意js绕过边界窃取信息。具体的说,应该是通过潜入script标签加载外部数据,for example:

Zero Access恶意软件分析

大学生 / 2015-04-25

马Zero Access到目前为止已经在世界范围内感染了过亿的计算机,嗯,ZA(Zero Access)能够发展到这一个级别我想其中一个原因是因为恶意广告的点击,和泛滥的比特币挖掘。一旦ZA感染系统就会开始下载各种不同类型的恶意软件,总的来说无论是个人还是组织一旦遭受感染最后的损失肯定不会小。

自动生成正则表达式

大学生 / 2015-03-15

自动生成正则表达式这个话题其实国外有相关的研究,这次的使用的方法是我按一个论文的思路做实现的时候想到的。所谓的自动生成其实没有想象的那么高大上,其实就是使用了一些非常简单的思路进行组合。文中提到的方法已经使用python进行了实现,效果就我本身提供的几个二逼的数据来说是不错的,但是我不好评价真实场景下的效果,还有需要注意的就是我文中提供的代码适合生成一些简单的正则表达式。

Data-Hack SQL注入检测

大学生 / 2015-03-12

这个系列教程我本来打算的是翻译,后来过了一下文章发现教学过程不是很友好,所以大体是按他的思路,不过其中做了很多改动,还有个事情就是我假定读者已经了解基础的python和SQL注入的知识。还有一个需要注意的是我是写在ipython notebook中,所以文中的代码可能需要一点改动才能用。

随机分类

软件安全 文章:17 篇
密码学 文章:13 篇
Web安全 文章:248 篇
CTF 文章:62 篇
渗透测试 文章:154 篇

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮