Redis数据库安全手册

0

Redis是一个高性能的key-value数据库,这两年可谓火的不行。而Redis的流行也带来一系列安全问题,不少攻击者都通过Redis发起攻击。本文将讲解这方面的内容,包括Redis提供的访问控制和代码安全问题,以及可以由恶意输入和其他类似的手段触发的攻击。 Redis通用安全模块 Redis被设计成只能由可信环境的可信机器访问。这意味着将它直接暴露在互联网或者其他可以由不可信机器通过TCP或者UNIX SCOKET直接连接的环境中。 例如,在通常 ... 全文 »

微软发布针对FREAK漏洞以及Stuxnet病毒的更新

0

本周二,微软发布了针对FREAK漏洞与Stuxnet(震网)病毒的安全更新。 FREAK危害广泛 FREAK漏洞并不只存在于windows,一天前苹果也发布了IOS和OSX上FREAK的更新。早在三月三号谷歌也曾发布了chrome在Windows, OS X以及Linux上的更新。 微软表示,此次更新不但解决了该问题,还因为FREAK技术的公开披露促进了其的开发利用。毕竟这是整个行业的问题,并不只是windows系统。另外还补充道,该漏洞可能允许 ... 全文 »

Metasploit Payload服务器 – Maligno v2.0

0

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! Maligno是一个Python编写的开源渗透测试工具,可提供Metasploit的各种Payload(攻击负载)。它可以通过msfvenom生成shellcode并通过HTTP/HTTPS传输。另外这些shellcode使用AES加密。 Maligno提供了一个客户端工具,可以连接Maligno下载一个加密的Metasploit Payload,而当该shellc ... 全文 »

域名阴影(Domain Shadowing)技术:知名钓鱼攻击工具包Angler Exploit Kit又添杀招

0

臭名昭著的钓鱼工具包Angler Exploit Kit最近更新了许多漏洞利用工具(含0day),以及一项名为“域名阴影(Domain Shadowing)”的新技术,将另一个知名恶意工具包BlackHole exploit kit完全击败,成为当前市面上最“先进”的钓鱼攻击装备。 Angler Exploit Kit采用的这新技术被称为“域名阴影(Domain Shadowing)”,该技术被认为是网络犯罪的新突破。域名阴影这个词在2011年首次出现,简单来说 ... 全文 »

使用scrapy爬取sebug漏洞库

0

由于项目需要抓取sebug的漏洞库内容,就利用scrapy框架简单写了个抓取sebug的爬虫,并存入数据库,mysql或mongodb,这里以mysql为例。 关于scrapy Scrapy,Python开发的一个快速,高层次的屏幕抓取和web抓取框架,用于抓取web站点并从页面中提取结构化的数据。Scrapy用途广泛,可以用于数据挖掘、监测和自动化测试。 Scrapy吸引人的地方在于它是一个框架,任何人都可以根据需求方便的修改。它也提供了多种类型爬 ... 全文 »

钓鱼邮件利用路由器CSRF漏洞劫持巴西网民DNS

0

安全公司‍‍‍‍ProofPoint的研究人员于上周二发布了一个报告,报告中指出黑客正在通过更改DNS设置劫持巴西网民的网络连接。攻击者主要是利用家用路由器中存在的安全漏洞入侵,然后修改路由器DNS设置,这种攻击被称为‍‍pharming(网址嫁接攻击)。‍‍ 网址嫁接攻击 网址嫁接攻击是一种重新导向的诈骗技巧,由网络钓鱼衍生而来。主要通过在网页中植入木马或者利用域名服务器上的漏洞将受害者错误的引导到伪造的网站中,并伺机窃取证书和敏感信息。 通常情况下,网址嫁接攻击 ... 全文 »

返回顶部