内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

当前分类:

> 电脑 > 电脑安全 >

  • 保护SSH端口安全性的多种技巧介绍10月28日

    前言 SSH是一种可以让你在不安全的网络上,安全的运行网络服务的网络协议的.ssh的标准TCP端口为22端口,其最佳应用场景是用户远程登录至计算机系统。因此,SSH端口也是攻击者必扫的端口之一。本文将就SSH端口的安全性展开讨论,并为大家提供多种保护SSH端口

    Tags:SSH
  • 黑客将Python作为攻击编码语言的首选10月28日

    调查数据表明,目前的GitHub代码库中,有超过20%的网络攻击工具或PoC代码都是采用Python编写的。 最新的调查数据表明,Python已经变成了世界上最热门的编程语言了,而Python的热门风也刮到了信息安全领域中。Python,摇身一变,也变成了黑客开发网络攻击工具

    Tags:Python黑客编码
  • 记一次远程命令执行漏洞的挖掘过程10月27日

    前言 最近为甲方做渗透测试发现了一个远程命令执行漏洞,可以通过恶意参数传递执行bash命令,本文回顾一下漏洞的挖掘过程。 发现 1、通过nessus扫描器的Sitemap模块,发现了可疑目录: 2、根据sitemap的目录信息,打开URL: http://x.x.x.x:28076/file/ ,发

    Tags:远程命令执行漏洞挖掘
  • ChachaDDoS恶意软件分析10月27日

    VestaCP用户发现其管理凭证被窃,服务器被感染Linux/ChachaDDoS。感染向量VestaCP论坛的用户Razza称,攻击者尝试通过SSH加载Linux/ChachaDDoS。目前还不清楚payload是如何释放到/var/tmp目录中的,假设攻击者已经有…

    Tags:ChachaDDoS恶意软件
  • ANDRAX:最新的Android智能手机上的渗透测试平台10月27日

    今天给大家介绍一款专为Android智能手机设计的渗透测试平台,该工具名叫ANDRAX,它可以直接在原生Android系统上运行,它不仅能够跟常用Linux发行版相媲美,而且它的功能甚至比常见Linux发行版更加强大。 为何Android能够如此强大? 很简单,每个人都有智能手

    Tags:ANDRAX智能手机渗透测试
  • 如何使用Windows Library文件进行持久化10月27日

    前言 想象一下,假设在你不知道的情况下,攻击者在你的计算机上放置了一个恶意文件。每当你访问桌面上某个文件夹时(例如Documents文件夹),都会执行一次该文件。这样的场景,通过利用一种鲜为人知的持久化技术就可以实现,这一过程需要用到Windows库(Libr

    Tags:LibraryWindows
  • 看我如何在Weblogic里捡一个XXE(CVE-2018-3246)10月25日

    前言 前几天空间被CVE-2018-2894刷屏,大家也都在研究和复现这个漏洞,正好我们安全团队也在玩这个漏洞,那大家就一起来玩咯。 本次的重点是复现,上传webshell,环境是内部一个测试环境,当我使用其中一个上传页面的时候,脑子突然热了一下,把文件后缀改成

    Tags:WeblogicXXECVE-2018-324
  • SIEM中基于多层网络分析引擎的安全威胁预警研究10月25日

    前言 在大型企业生产环境中,实现安全事件的处理和攻击行为的分析,需要尽可能多地收集各种安全设备的安全事件数据,例如:网络防火墙、WAF、服务器防护、VPN,、流量监控、APT检测、IDS、IPS、蜜罐等。然而,过多的安全事件日志(特定场景下,如每天40万条日

    Tags:SIEM
  • 寻找活动目录中使用可逆加密存储密码的账户10月25日

    密码安全问题一直都受到个人和企业的关注。对于个人而言,或许仅仅只是个人隐私的被公开,而对于企业而言则可能会是灾难性的。为了避免出现这种情况,越来越多的企业都开始使用一些不可逆,且强度高的加密算法来加密其账户密码。但一些安全意识薄弱的企业或

    Tags:PowerShell数据库Active Direc
  • 传真机的攻击面研究报告10月25日

    介绍 大家一听到传真机这三个字,肯定觉得这种设备离自己非常远。但实际上,现在很多办公室里仍然存在着这种远古设备,而且在商业和法律通信等领域内仍处于广泛使用中。传真机的大部分技术都是几十年前的了,而且在过去的几年里基本没有升级过。 以前的传真

    Tags:传真机
  • Udp2raw-Tunnel:一款功能强大的UDP隧道工具10月25日

    今天给大家介绍的是一款功能强大的UDP隧道工具,该工具可以利用原始套接字并通过伪造的TCP/UDP/ICMP流量来帮助研究人员绕过UDP防火墙(或不稳定的UDP环境)。 支持的平台 Linux主机,需拥有root访问权,其中包括桌面端Linux、Android手机/平板、OpenWRT路由

    Tags:UDPUdp2raw-Tunn
  • WiFi新标准WPA3蜻蜓 (Dragonfly) 密钥交换协议分析10月24日

    背景 在2018年1月8日美国拉斯维加斯的国际消费电子展(CES)上,Wi-Fi联盟发布了最新的WPA3加密协议,作为WPA2技术的的后续版本,并在2018年6月26日,WiFi联盟宣布WPA3协议已最终完成。与WPA3相关的最核心的文档为RFC7664,其中描述的是WPA3中最大的改进,就是

    Tags:DragonflyWPA3WiFi
  • 反爬之字体加密与破解10月24日

    最近看到不少网站都使用了字体库对数据进行加密,即页面源码中的数据与显示出来的数据不同,用户也无法直接进行复制。 例如企信宝页面中的字母与数字,58房产频道中的数字: 经过对字体库进行研究,找到了加密与解密方案。 加密 准备字体库样本 笔者在网上随

    Tags:字体
  • 发现了学校教务处官网的两个BUG10月22日

    许久没有写博客了,感觉自己技术还差的好多-_-好像没啥好写的,之前学完了某易的WEB安全基础视频教程,自认对WEB安全入了门,忍不住就想拿学校教务处官网来练练手 教务处登录界面如图所示(为保护隐私,部分内容打码,后面图片也一样),没啥特点 将官网用御

    Tags:XSS漏洞CSRFWeb安全
  • 第6期:命令注入10月22日

    代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并且已经成为安全开发生命周期SDL和DevSecOps等保障体系的重要技术手段。 360代

    Tags:安全漏洞Java
  • 不可忽视的前端安全问题:XSS攻击10月22日

    XSS是什么 XSS是跨站脚本攻击(Cross-Site Scripting)的简称。 XSS是一种注入脚本式攻击,攻击者利用如提交表单、发布评论等方式将事先准备好的恶意脚本注入到那些良性可信的网站中,当其他用户进入该网站后,脚本就在用户不知情的情况下偷偷地执行了,这样

    Tags:XSS
  • 从菜鸟到大神:顶级黑客一定要懂得基本技术!10月22日

    问:什么是网络安全 ? 答:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不被中断。 问:什么是网络安全 ? 答:网络安全是指网络系统的硬件、软件及其

    Tags:黑客
  • Burpsuite爆破含CSRF-Token的程序10月22日

    0x01 开启burpsuite代理,抓取数据包,将请求包转送到Intruder 2. 设置 0x02 Attack type选择Pitchfork,将passwod和user_token设置攻击位置 0x03 在options栏找到Grep - Extract,点击Add,然后点击Refetch response,进行一个请求,即可看到响应报文,直接选

    Tags:BurpsuiteCSRF
  • 一个渗透测试练习实例:发现未知的漏洞(Race condition)10月22日

    Write-up地址: Exploiting an unknown vulnerability 作者: Abhishek Bundela 这篇文章跟我之前看到的文章不太一样,作者是按照一个练习的方式简单描述了他对一个应用进行渗透测试的过程,其中提到的许多测试虽然没有成功,但是对于像我这样的菜鸟来说还是

    Tags:渗透测试
  • 刺透内网的HTTP代理10月22日

    从偶然出发 在做测试的时候发现了这样一个漏洞,原请求报文如下: GET / HTTP/1.1Host: attack_website[... HEADER ...]... 当时最初目的是想测SSRF的,但是经过测试没发现存在漏洞后来想起之前看过的一些漏洞案例,将请求报文中的URI部分替换成了网址: htt

    Tags:HTTP

CopyRight © 2015-2016 QingPingShan.com , All Rights Reserved.

清屏网 版权所有 豫ICP备15026204号