-
CVE-2013-3897样本分析学习笔记
之前,看到FireEye上的CVE-2013-3893分析,看利用方式比较类似,以为是同一个,分析学习下,发现导致问题的对象不一致,也没有利用ms-help加载office的hxdl构造ROP,后来在BinVul论坛上看到有人发了该样本,才知道是CVE-2013-3897。不正确地方还请扶正。 1. 概述 该样本攻击对...作者:J0s1ph | 分类:黑客攻防 | 围观:270次发表评论
-
XSS现代WAF规则探测及绕过技术
初始测试 1、使用无害的payload,类似<b>,<i>,<u>观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等; 2、如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应; 3、尝试以下的payload <script&g...作者:J0s1ph | 分类:黑客攻防 | 围观:317次
-
物理攻击?那些年我们忽略掉的一些社会工程学手段
笔者自己也不太明白,也没资格给某种手法进行命名,暂且把这种“非主流的社工和渗透攻击结合”的方式成为物理攻击吧。 首先,做个小小的声明:文章里提到这个朋友虽然从事相关工作,但是却是正义的,也很乐于我将他知道公布出来,即便是以爆料的形式。再者,文正中提到的案例确实是真实的...作者:J0s1ph | 分类:社会工程学 | 围观:407次
-
赛门铁克发布2014年安全趋势,大数据、云等均上榜
近日,赛门铁克公司(纳斯达克:SYMC)发布了2014年信息安全与管理趋势的十大预测,这些预测是基于我们对当前业内的重要趋势的观察,同样也是基于赛门铁克公司在IT领域中积累的多年专业经验与丰富实践所得出的结论。过去一年,移动安全、大数据备受关注,而云计算、社交网络也依然热度...作者:J0s1ph | 分类:网络安全 | 围观:301次
-
国外成功使用电视棒接收玉兔登陆信号
老外使用电视棒接收了嫦娥三号的信号。原文如下: 昨天嫦娥三号飞船及玉兔登录器成功登陆月球。我从UTC18:30开始追踪这个信号直到22:30,我在窗口所接收到的玉兔的信号在1Hz频宽上超过了15dB。在月球大概-0.6Hz/s多普勒效应下,登录器的频率是8462.08000MHz。这个信号可以很容易使用耳...作者:J0s1ph | 分类:新闻资讯 | 围观:310次