GitHub CSP应用的经验分享

小饼仔 / 2016-04-20

最近看了一篇文章GitHub's CSP journey,作者是GitHub工程师Patrick Toomey,文中分享了GitHub在 应用CSP (Content Security Policy) 上一些经历和踩过的坑,并给出了一些实际的案例来说明策略设置的原因,很具有参考意义。

Metasploit module开发入门篇

小饼仔 / 2016-04-06

Metasploit——渗透测试神器,相信大家应该都用过或听过,drops里也有很多白帽子写过相关的文章,介绍如何使用Metasploit。使用过Metasploit的同学应该知道,Metasploit Framework是高度模块化的,即框架是由多个module组成,我们除了可以使用已有的 module,还可以自行编写module来满足自己的需求,模块化使得框架具有很好的可扩展性,这也是为什么Metasploit Framework这么受欢迎的原因之一。

SSRF libcurl protocol wrappers利用分析

小饼仔 / 2016-03-21

前几天在hackerone上看到一个imgurSSRF漏洞,url为:https://imgur.com/vidgif/url?url=xxx,参数url没有做限制,可以访问内网地址。请求过程中使用到了liburl库,并且liburl配置不当,可以让攻击者使用除http(s)之外的多个libcurl protocol wrappers,比如ftp://xxx.com/file会让服务器发起ftp请求。

Ruby on Rails 动态渲染远程代码执行漏洞 (CVE-2016-0752)

小饼仔 / 2016-01-27

如果你的应用中使用了动态渲染路径 (dynamic render paths) ,如渲染params[:id],通过本地文件包含(local file inclusion),可能会导致远程代码执行。可以通过更新到Rails的最新版本,或重构你的controllers来修复漏洞。

文章主要介绍了在特定的场景下,Ruby on Rails框架的一个缺陷导致攻击者能够远程执行代码。

KeyRaider:迄今最大规模的苹果账号泄露事件

小饼仔 / 2015-09-08

最近,WeipTech(威锋技术组)分析了一些用户报告的可疑iOS应用,发现了存储在某服务器上超过22,5000个有效的Apple账户和密码。
通过与WeipTech的合作,我们(Paloalto)识别了92个尚未发现过的恶意软件样本。为了找出恶意软件作者的意图,我们对样本进行了分析,并将这个恶意软件家族命名为“KeyRaider”。从结果来看,我们相信这是有史以来因恶意软件所造成的最大Apple账号泄露事件。

小饼仔

做有意思的事 and 分享有意思的东西~ zzz

twitter weibo github wechat

随机分类

密码学 文章:13 篇
漏洞分析 文章:212 篇
木马与病毒 文章:125 篇
Web安全 文章:248 篇
事件分析 文章:223 篇

最新评论

J

JANlittle

hxd这是哪个分区赛的题呀,方不方便放个附件?

PuPp1T.

好的 再去搜集一些资料大概一两周左右补上 太感谢师傅指点啦

NorthShad0w

不是很全可能你找的资料太老了,有空可以补一补 sekurlsa 少了 clou

gxh191

谢谢大佬,我转web了

C

CDxiaodong

学到了 感谢大佬