背景 Mark Burnett是一名独立安全研究者，最近频繁有学生和其他安全研究者希望能得到他的密码研究数据。在之前Mark都是拒绝提供这些数据的，但今天他决定向全世界分享一份密码数据合集。他认为一份精心整理过的用户名及其对应的密码数据将使得普通用户更了解和重视密码安全。 为什么要公开密码？ Mark之所以这么做的原因是自称黑客组织匿名者（Anonymous）的发言人Barrett Brown遭到FBI逮捕，而他受到指控就是他公布了泄漏的密码库。 ... 全文 »

印度安全研究人员Laxman Muthiyah 在Facebook  Graph API上发现一个安全漏洞，攻击者可以利用该漏洞删除任意用户Facebook相册。 什么是Graph API？ Facebook Graph API可以理解为一个可以访问Facebook数据的Web服务。该API提供了对人员，相册，事件等等Facebook对象以及这些对象之间诸如朋友，标签，分享内容等等连接之间的访问。 当输入一个URL后，会返回一个Json对象 。Gra ... 全文 »

早在一年前，美国国防部先进研究项目局（DARPA）曾透漏过一个秘密项目——一款新型搜索引擎，通过深度挖掘暗网（Dark Web），获取Google搜索和其他商业搜索引擎未能涉及到的所有隐秘信息。现在，它已经悄然问世。 什么是暗网 ‍‍暗网并非十分庞大，甚至没有想象中那样特别的神秘。事实上，所谓“暗网”都是公共可见的网站，但却将真实的服务器IP隐藏了而已。这意为着，任何人都可以访问暗网，但“暗”就暗在这些网站隐藏极深，难以调查的幕后。‍‍ 黑客辞典：暗 ... 全文 »

什么是Markdown？ Markdown是一种轻量级的标记语言，流行程度已经得到了GitHub和Stack Overflow的广泛支持，作为普通人我们也可以轻松上手。 用markdown来写文章非常赞，那些琐碎的HTML标签都可以抛到脑后不用管。最近5年内，markdown收到非常多的关注，包括Reddit,Github,StackOverflow在内的很多应用都使用 markdown这也催生了很多的markdown解析器的产生，这里定义了一些markd ... 全文 »

CSRF的漏洞原理和利用方式这里就不多赘述了。平时大家讨论的CSRF利用多是发送一次请求。比如CSRF刷粉丝，CSRF发微博。这里主要讨论一个稍微复杂点的利用场景。 最近在做测试的时候遇到一个案例，用户绑定邮箱的请求没有防御CSRF。但是大家都知道绑定邮箱这个操作不是一步完成了。这次遇到的这个案例是这样的。用户发送一个申请绑定邮箱的请求，服务器给该邮箱发送一个验证码，然后用户在页面中输入验证码完成绑定。 从上图的路程中可以看出。按照常见的csrf的漏洞来说 ... 全文 »

免责声明：本站提供安全工具、程序(方法)可能带有攻击性，仅供安全研究与教学之用，风险自负! dirs3arch是一个命令行形式的目录暴破测试工具，可以通过暴力尝试的方法发现网站隐藏的目录和文件。它通过python3编写，包含多个第三方库。 操作系统支持 Windows XP/7/8 GNU/Linux MacOSX 特性 多线程 保持活跃连接 支持多种扩展 (-e|--extensions asp,php) 报告(plain text, J ... 全文 »