暗网搜索引擎Memex:美帝最新制造的犯罪追踪神器

0

早在一年前,美国国防部先进研究项目局(DARPA)曾透漏过一个秘密项目——一款新型搜索引擎,通过深度挖掘暗网(Dark Web),获取Google搜索和其他商业搜索引擎未能涉及到的所有隐秘信息。现在,它已经悄然问世。 什么是暗网 ‍‍暗网并非十分庞大,甚至没有想象中那样特别的神秘。事实上,所谓“暗网”都是公共可见的网站,但却将真实的服务器IP隐藏了而已。这意为着,任何人都可以访问暗网,但“暗”就暗在这些网站隐藏极深,难以调查的幕后。‍‍ 黑客辞典:暗 ... 全文 »

一个Markdown解析器的持久型XSS漏洞(CVE-2014-5144)

0

什么是Markdown? Markdown是一种轻量级的标记语言,流行程度已经得到了GitHub和Stack Overflow的广泛支持,作为普通人我们也可以轻松上手。 用markdown来写文章非常赞,那些琐碎的HTML标签都可以抛到脑后不用管。最近5年内,markdown收到非常多的关注,包括Reddit,Github,StackOverflow在内的很多应用都使用 markdown这也催生了很多的markdown解析器的产生,这里定义了一些markd ... 全文 »

多步CSRF漏洞场景及其利用

0

CSRF的漏洞原理和利用方式这里就不多赘述了。平时大家讨论的CSRF利用多是发送一次请求。比如CSRF刷粉丝,CSRF发微博。这里主要讨论一个稍微复杂点的利用场景。 最近在做测试的时候遇到一个案例,用户绑定邮箱的请求没有防御CSRF。但是大家都知道绑定邮箱这个操作不是一步完成了。这次遇到的这个案例是这样的。用户发送一个申请绑定邮箱的请求,服务器给该邮箱发送一个验证码,然后用户在页面中输入验证码完成绑定。 从上图的路程中可以看出。按照常见的csrf的漏洞来说 ... 全文 »

HTTP(S)网站目录暴破测试工具 – Dirs3arch v0.3.0

0

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! dirs3arch是一个命令行形式的目录暴破测试工具,可以通过暴力尝试的方法发现网站隐藏的目录和文件。它通过python3编写,包含多个第三方库。 操作系统支持 Windows XP/7/8 GNU/Linux MacOSX 特性 多线程 保持活跃连接 支持多种扩展 (-e|--extensions asp,php) 报告(plain text, J ... 全文 »

如何科学的抢红包:年末致富有新招,写个程序抢红包

0

0×00 背景 ‍‍ 红包纷纷何所似?兄子胡儿曰:“撒钱空中差可拟。”兄女道韫曰:“未若姨妈因风起。” ‍‍背景大家都懂的,要过年了,正是红包满天飞的日子。正巧前两天学会了Python,比较亢奋,就顺便研究了研究微博红包的爬取,为什么是微博红包而不是支付宝红包呢,因为我只懂Web,如果有精力的话之后可能也会研究研究打地鼠算法吧。 ‍‍因为本人是初学Python,这个程序也是学了Python后写的第三个程序,所以代码中有啥坑爹的地方请不要当面戳穿,重点是思路 ... 全文 »

泄露数据中的秘密:中国网民的密码设置习惯

0

2014年又是网络安全史上不平静的一年,从年初的携程的信用卡大规模泄露,再到各种拥有奇怪名字的开源软件漏洞,然后是索尼被黑客翻了个底朝天,年末的时候黑客们又为我们奉上了一道大菜——购票网的撞库事件。‍‍ ‍‍网络安全事件如此频发,人们对密码的保护意识自然开始增强,媒体网站也纷纷发文告诫用户该如何设置安全的密‍‍码。密码中不要包含常用的词汇,不要以生日、邮箱、用户名、手机号等作为密码等设置密码的方式已经被许多普通网民熟知。‍‍ 那么在设置自己密码的时候,中国 ... 全文 »

返回顶部