-
Facebook用户相册任意删除漏洞
印度安全研究人员Laxman Muthiyah 在Facebook Graph API上发现一个安全漏洞,攻击者可以利用该漏洞删除任意用户Facebook相册。 什么是Graph API? Facebook Graph API可以理解为一个可以访问Facebook数据的Web服务。该API提供了对人员,相册,事件等等Facebook对象以及这些对象之间诸...作者:J0s1ph | 分类:漏洞公布 | 围观:141次发表评论
-
暗网搜索引擎Memex:美帝最新制造的犯罪追踪神器
早在一年前,美国国防部先进研究项目局(DARPA)曾透漏过一个秘密项目——一款新型搜索引擎,通过深度挖掘暗网(Dark Web),获取Google搜索和其他商业搜索引擎未能涉及到的所有隐秘信息。现在,它已经悄然问世。 什么是暗网 暗网并非十分庞大,甚至没有想象中那样特别的神秘。事实上...作者:J0s1ph | 分类:黑客业界 | 围观:156次
-
一个Markdown解析器的持久型XSS漏洞(CVE-2014-5144)
什么是Markdown? Markdown是一种轻量级的标记语言,流行程度已经得到了GitHub和Stack Overflow的广泛支持,作为普通人我们也可以轻松上手。 用markdown来写文章非常赞,那些琐碎的HTML标签都可以抛到脑后不用管。最近5年内,markdown收到非常多的关注,包括Reddit,Github,StackOverfl...作者:J0s1ph | 分类:漏洞公布 | 围观:108次
-
多步CSRF漏洞场景及其利用
CSRF的漏洞原理和利用方式这里就不多赘述了。平时大家讨论的CSRF利用多是发送一次请求。比如CSRF刷粉丝,CSRF发微博。这里主要讨论一个稍微复杂点的利用场景。 最近在做测试的时候遇到一个案例,用户绑定邮箱的请求没有防御CSRF。但是大家都知道绑定邮箱这个操作不是一步完成了。这次遇...作者:J0s1ph | 分类:黑客攻防 | 围观:272次
-
HTTP(S)网站目录暴破测试工具 – Dirs3arch v0.3.0
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! dirs3arch是一个命令行形式的目录暴破测试工具,可以通过暴力尝试的方法发现网站隐藏的目录和文件。它通过python3编写,包含多个第三方库。 操作系统支持 Windows XP/7/8 GNU/Linux MacOS...作者:J0s1ph | 分类:黑客攻防 | 围观:141次