网络小黑揭秘系列之黑产江湖黑吃黑 ——中国菜刀的隐形把手

0

    引子 人在做,天在看。 黑产乃法外之地,被丛林法则所支配。没有了第三方强制力量的保障和监督,在那个圈子里我们可以看到两个极端:想做大生意的往往极重信誉,而那些只想捞一票就走的则会肆无忌惮地黑吃黑。 2015年12月中,360天眼实验室发布了“网络小黑揭秘系列之黑色SEO初探”,简单揭露了下网络上的黑色SEO活动,同时也提到了很多黑客工具中带有后门,其中就包括了某些使用面非常广的工具。没错,这回我们的主角是小黑们最喜闻乐见 ... 全文 »

XSS过滤器Bypass的一些姿势

0

XSS 攻击是一种攻击者将 JavaScript 代码注入到用户运行页面中的攻击。为了避免这种攻击,一些应用会尝试从用户输入中移除 JavaScript 代码,但这很难完全实现。在本文中会先展示一些尝试过滤 JavaScript 的代码,并随后给出其绕过方法。 以一个网上商城应用 Magento 中的过滤类 Mage_Core_Model_Input_Filter_MaliciousCode 为例,部分代码如下: protected $_expressions ... 全文 »

Windows最新“WebDAV”提权漏洞介绍(MS16-016)

0

这个漏洞是由于Windows中的WebDAV未正确处理WebDAV客户端发送的信息导致的。不知各位是否想到了2003年知名的“Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞”呢? 漏洞CVE编号:CVE-2016-0051。 漏洞信息 据微软安全公告描述: 如果 Microsoft Web 分布式创作和版本管理 (WebDAV) 客户端验证输入不当,那么其中就会存在特权提升漏洞。成功利用此漏洞的攻击者可以使用提升的特权执行任意 ... 全文 »

社工库源码搜集

0

我接触的第一个社工库源码是Bamaba的源码 一个Asp+Sqlserver的源码 很简陋 大概就是这个界面 13年前后的大多数社工库都是这个源码改的 包括第一代QQ群查询 asp+sqlserver 单表查询 下载地址:bamaba 变形修改版:Q群登陆查询源码   CNSEU的源码 原来叫97bug吧 怀念一下 好多裤子! 这个源码是直接搜索TXT文件的,无需导入数据库。简单粗暴 很多 ... 全文 »

安全研究人员最爱的15款操作系统(含下载)

0

这里我们列举出15个用于渗透测试的操作系统。其中,我最喜欢的非Kali Linux莫属,毫无疑问Kali也是最受欢迎的,它的开发团队与BackTrack相同(Offensive security)。这里我并没有将BackTrack列入,因为官网已经没有更多它的可用版本,而BackTrack的下一版就是Kali Linux。这里所有的操作系统都是基于Linux内核的,所以它们也都是免费的(文中提供了下载链接)! 1.Kali Linux Kali Lin ... 全文 »

苹果修复iOS严重漏洞,黑客可从设备窃取cookie(CVE-2016-1730)

0

近日,苹果修复了iOS中一个严重的漏洞。这个漏洞允许黑客伪装成终端用户,获取网站未加密cookie的读写权限。 随着周二发布的iOS 9.2.1,该漏洞被修复,距它首次被报告给苹果已历时三年。 这个漏洞被称作“Captive Portal”(强制主页)漏洞,最初是由网络安全公司Skycure 的Adi Sharabani和Yair Amit发现的,他们在2013年6月私下报告给了苹果。 漏洞如何产生 该漏洞是因为iOS在Captive Port ... 全文 »

返回顶部