渗透必备工具:burpsuite_pro_v1.7.35(目前最新版本)
Burp Suite是一款信息安全从业人员必备的集 成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequ…
- 0
- 0
- 黑客
- 发布于 2018-07-25 08:00
- 阅读 ( 967 )
黑客
aria2安装及使用
之前的百度网盘会员过期了,下载一点点东西慢出翔。鉴于目前穷困潦倒的生活状态,还是用用免费的好了。所以通过aria2这个工具做一点点改善就成了一个可选项。使用homebrew安装aria2c$ …
- 0
- 0
- 黑客
- 发布于 2018-07-25 08:00
- 阅读 ( 558 )
浦发银行信用卡中心诚聘高级安全工程师
职位: 上海浦东发展银行信用卡中心高级安全工程师岗位职责:深入业务部门,了解业务开发上线动态,针对Web应用和移动APP的开发需求进行安全评审工作。负责企业各业务系统上线前代码安全测试,包括web应用…
- 0
- 0
- 黑客
- 发布于 2018-07-24 08:00
- 阅读 ( 530 )
Play框架任意文件读取漏洞
介绍 在研究区块链项目的过程中,360 Redteam发现区块链项目API使用Play Framework框架来构建网站。审核框架后,我们发现了一个通用漏洞。该框架不正确地处理静态文件资源的路径。任何文件读取...
- 0
- 0
- 黑客
- 发布于 2018-07-22 00:00
- 阅读 ( 1409 )
什么?你的私钥泄漏了?
代码签名代码签名是一种当代标准做法,其中软件开发人员通过可信证书颁发机构的验证,并接收可用于签署脚本和可执行文件的证书和私钥。几乎每个设备,操作系统和网络浏览器都经过硬编码,以尽可能少地信任各种来源。…
- 0
- 0
- 黑客
- 发布于 2018-07-20 08:00
- 阅读 ( 559 )
安全小课堂CTF实战系列——加了逆向难度的PWN题
JSRC安全小课堂CTF实战系列,将不定期为大家放出CTF赛事的题目解析以供CTF爱好者参考学习。今天为大家带来的是2018年的看雪·京东CTF大赛里的一道加了逆向难度的PWN题。设计思路题目设计C+…
- 0
- 0
- 黑客
- 发布于 2018-07-18 08:00
- 阅读 ( 454 )
gpSystem:一种可私自注册google账号的病毒
近期安天移动安全和猎豹移动联合捕获到病毒gpSystem,该病毒植入在应用程序private,程序运行后便隐藏图标,进行下载提权相关文件、联网获取数据模拟点击注册google账号、上传用户账号、固…
- 0
- 0
- 黑客
- 发布于 2018-07-18 08:00
- 阅读 ( 589 )
LightCoin合约非一致性检查漏洞分析
本文作者莫良,由入驻 安全脉搏 的 BYSEC.IO 投稿。BYSEC.IO是全球首家基于区块链生态的信息安全社区,致力于打造漏洞平台、安全媒体联盟、行业名片、…
- 0
- 0
- 黑客
- 发布于 2018-07-15 08:00
- 阅读 ( 587 )
利用Github对安全人员进行钓鱼
作为一个执着于刷SRC挣外快的搬砖工,我决定当一次搅屎棍。现在刷SRC的白帽子们都有在Git上搜索相关厂商工作人员信息的习惯,那么可以利用这一点,来实施一次"黑吃黑",给这个计划取…
- 0
- 0
- 黑客
- 发布于 2018-07-13 08:00
- 阅读 ( 588 )
上海南洋万邦招聘安全工程师
职位:安全工程师职位描述1、信息安全项目报告编制和方案设计:对信息系统进行信息安全等级保护测评、风险评估、差距分析等并编制相关报告;根据客户需求设计信息安全解决方案、信息安全规划方案、信息安全体系建设…
- 0
- 0
- 黑客
- 发布于 2018-07-12 08:00
- 阅读 ( 608 )
我的WAF Bypass实战系列
在2008年初,SQL组注入攻击诞生了。黑客asp,asp.net和MSSQL架构的网站在世界各地疯狂地被粉碎。由于MSSQL支持多语句注入,黑客可以通过结合游标的SQL语句自动篡改整个数据库的字段内容,并且可...
- 0
- 0
- 黑客
- 发布于 2018-07-10 00:00
- 阅读 ( 1454 )
AMR无限增发代币至任意以太坊地址的漏洞利用及修复过程
0x00 项目简述Ammbr主要目标是打造具有高度弹性且易于连接的分布式宽带接入平台,同时降低上网相关成本。Ammbr打算创建具有人工智能和智能合约功能的高通量区块链平台,在为无线宽带用户清除障碍的同…
- 0
- 0
- 黑客
- 发布于 2018-07-09 08:00
- 阅读 ( 628 )
流包装器实现WebShell免杀
前言本文是看PHP使用流包装器实现WebShell有感,权当做个笔记。很早的以前,我们就见过 php://input,这其实就是流包装器的一种。php://input 是个可以访问请求原始数…
- 0
- 0
- 黑客
- 发布于 2018-07-09 08:00
- 阅读 ( 595 )
Exploiting 用户自定义模版引擎
模版引擎的执行流程: 通用执行shell命令的代码Runtime.getRuntime().exec(‘whoami’);Java8获取输出流的代码BufferedReader(newInp…
- 0
- 0
- 黑客
- 发布于 2018-07-07 08:00
- 阅读 ( 571 )
安天移动安全应急响应中心:微信支付SDK曝高危漏洞
近日,国外安全社区 Seclists.Org 披露了微信支付官方 SDK 存在严重的XXE漏洞。影响范围包括所有采用受影响的版本为WxPayAPI_JAVA_v3的微信官方Java SDK版本的支付后…
- 0
- 0
- 黑客
- 发布于 2018-07-06 08:00
- 阅读 ( 619 )
平安壹钱包(上海)招信息安全总监
壹钱包壹钱包是中国平安旗下平安付推出的移动支付客户端。壹钱包以个人创新金融为核心,聚焦于移动互联网和互联网金融,致力于为大众提供互联网金融及消费服务。平安壹钱包(上海)招信息安全总监岗位职责:1、主持…
- 0
- 0
- 黑客
- 发布于 2018-07-06 08:00
- 阅读 ( 685 )
从NTDS.dit获取密码哈希值的三种方法
前言朋友们,大家好!!今天我们来讨论一些对渗透测试非常有用的取证工具,主要是从主机内部获取NTLM密码的哈希值。我们知道,当进行渗透测试时,我们通常会从主机内部提取很多东西,如果发现了诸如NTDS.d…
- 0
- 0
- 黑客
- 发布于 2018-07-06 08:00
- 阅读 ( 575 )
Syscoin疑似遭黑客攻击与币安API盗币事件解读
经过BCSEC研究发现,目前互联网上的所有言论、文章皆具有极强的误导性!先放BCSEC团队的几个分析结论:1.Syscoin的公链是否存在溢出导致大量发币?否!2.币安API盗币事件与Syscoin公…
- 0
- 0
- 黑客
- 发布于 2018-07-05 08:00
- 阅读 ( 580 )
蔚来汽车安全团队诚聘渗透测试专家
职位: 安全渗透测试专家-互联网汽车产品 职责描述: 1. 负责下一代互联网汽车的安全评估和渗透测试,包括:整车测试,模块测试(比如车上网关,自动驾驶,车载娱…
- 0
- 0
- 黑客
- 发布于 2018-07-04 08:00
- 阅读 ( 616 )
testService间谍病毒的“七年之痒”
一、概述 近期安天移动安全和猎豹移动联合捕获到间谍家族Trojan/Android.testServiceSpy的一些新的病毒样本,截至目前,捕获到的样本9成以上都是名为”testService”的…
- 0
- 0
- 黑客
- 发布于 2018-07-03 08:00
- 阅读 ( 537 )
