如何通过BurpSuite检测Blind XSS漏洞
上周末,我参加了法国黑客年度比赛“Nuit du Hack 2017”的资格赛预赛。那时,我成功地管理了游戏中的所有网络安全挑战,并且一个人在网络挑战中获得了团队的所有分数,而我使用的唯一工具是Burp...
- 0
- 0
- 黑客
- 发布于 2017-04-18 00:00
- 阅读 ( 1274 )
黑客
【技术分享】任意伪造大站域名(以Apple官网为例)
你相信这是一个钓鱼网站的域名吗? Punycode允许域名由外语组成。 Punycode使用ASCII字符集将外部域名转换为有意义的字符。例如,域名“xn--s7y.co”将转换为“short.co”。 从安全角度来看,由...
- 0
- 0
- 黑客
- 发布于 2017-04-18 00:00
- 阅读 ( 1224 )
开源网络取证工具Xplico架构浅析
本文《开源网络取证工具Xplico架构浅析》 由宜人贷安全应急响应中心 入驻安全脉搏账号发布,作者宜信安全部syp,安全脉搏独家首发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 0x1…
- 0
- 0
- 黑客
- 发布于 2017-04-17 08:00
- 阅读 ( 511 )
双剑合璧-Linux下密码抓取神器mimipenguin发布
本文《双剑合璧-Linux下密码抓取神器mimipenguin发布》 由ChaMd5安全团队原创投稿安全脉搏,作者为核心成员zusheng,安全脉搏发表本文,如需要转载,请先联系安全脉搏授权;未经授权…
- 0
- 0
- 黑客
- 发布于 2017-04-10 08:00
- 阅读 ( 509 )
phpcms_v9.6.0_sql注入与exp
今天还是昨天 突然整个圈子都在问一个phpcms v9漏洞 我们这里有好几个未公开的 后来经过证实,你们是要这个注入的漏洞 这个漏洞的文档已经在小范围流传了 phpcms_v9.6.0_sql注入分…
- 0
- 0
- 黑客
- 发布于 2017-04-10 08:00
- 阅读 ( 512 )
方程式 eqgrp-auction-file.tar.xz.gpg 文件已解
十几个小时前,Shadow Brokers 把从 NSA 那盗来的方程式组织相关文件剩下的 eqgrp-auction-file.tar.xz.gpg 文件密码公布了: CrDj"(;Va.*Ndln…
- 0
- 0
- 黑客
- 发布于 2017-04-10 08:00
- 阅读 ( 511 )
北京易鑫金融诚聘信息安全工程师
公司介绍 易鑫(www.daikuan.com)一家科技金融公司,成立于2014年8月,四大股东易车、腾讯、京东、百度持重金打造,共注资9.5亿美金,展业以来资产规模及核心竞争力在互联网汽车金融领域里…
- 0
- 0
- 黑客
- 发布于 2017-04-06 08:00
- 阅读 ( 510 )
湖南高阳通联诚聘安全渗透工程师
全球最大的手机支付项目-“和包”,彻底改变人们的支付和生活方式。 中国移动的“和包”项目(原名手机支付),以人为本,以更好地为社会服务为核心目标。 融合了金融、电信、智能卡、支付产品设计等多个领域的领…
- 0
- 0
- 黑客
- 发布于 2017-04-05 08:00
- 阅读 ( 513 )
“洗碗机”被曝目录穿越漏洞,物联网安全正越来越糟?
虽然物联网设备的数量呈指数级增长,但这些智能设备的安全级别并未增加,用户仍面临网络攻击的高风险。 Miele Miele是一家在德国成立的具有百年历史的家电品牌。最近,一个联网的医用洗衣机/消...
- 0
- 0
- 黑客
- 发布于 2017-04-02 00:00
- 阅读 ( 1184 )
CVE-2017-7269的几个技巧及BUG修正
看过了分析,来说说利用的几个小技巧。 1. 漏洞适用范围 原poc上面只写了适用于03 r2,实际上最常见的03 sp2也可以直接复现,这样子看来攻击范围是很大的,毕竟国内卖的大部分03都是企业版sp…
- 0
- 0
- 黑客
- 发布于 2017-04-01 08:00
- 阅读 ( 507 )
文件寄生——寻找宿主的不归路(NTFS文件流实际应用)
NTFS文件系统实现了多文件流特性,NTFS环境一个文件默认使用的是未命名的文件流,同时可创建其他命名的文件流,windows资源管理器默认不显示出文件的命名文件流,这些命名的文件流在功能上和默认使用…
- 0
- 0
- 黑客
- 发布于 2017-04-01 08:00
- 阅读 ( 508 )
CVE-2017-7269—IIS 6.0 WebDAV远程代码执行漏洞分析
漏洞描述: 3月27日,在Windows 2003 R2上使用IIS 6.0 爆出了0Day漏洞(CVE-2017-7269),漏洞利用PoC开始流传,但糟糕的是这产品已经停止更新了。网上流传的poc…
- 0
- 0
- 黑客
- 发布于 2017-04-01 08:00
- 阅读 ( 505 )
一种结合了点击劫持、Self-XSS、复制粘贴劫持的新型XSS攻击
从对等方接收数据时失败 假设您现在是黑客并且您已经建立了一个论坛,可以在注册页面上设置两个常见要求“输入您的电子邮件”和“重新输入您的电子邮件”。然后在“重新输入您的电子邮件”列中悄悄地...
- 0
- 0
- 黑客
- 发布于 2017-04-01 00:00
- 阅读 ( 1245 )
MySQL Order By 注入总结
前言 最近在做一些漏洞盒子后台项目的总结,在盒子众多众测项目中,注入类的漏洞占比一直较大。其中Order By注入型的漏洞也占挺大一部分比例,这类漏洞也是白帽子乐意提交的类型(奖金高、被过滤概览小)。…
- 0
- 0
- 黑客
- 发布于 2017-03-29 08:00
- 阅读 ( 511 )
【实验】如何本地搭建Struts2框架对S2-045漏洞进行利用
一:构建struts2 1.整个工程结构图: 2.所需的jar包,请注意struts2包应该在Struts 2.3.5 - Struts 2.3.31,Struts 2.5 - Struts 2.5.10之间选择 3.UploadAction.java: 4.struts.xml文件...
- 0
- 0
- 黑客
- 发布于 2017-03-29 00:00
- 阅读 ( 1133 )
【技术分享】通过iframe注入实现referer欺骗
前言 去年我们提到了一种在Edge上实现引用欺骗的非常简单的技术,它允许我们实现引用欺骗甚至绕过XSS过滤。今天我发现问题已解决,所以我决定尝试在补丁上找到问题。说实话,我认为这只是攻...
- 0
- 0
- 黑客
- 发布于 2017-03-29 00:00
- 阅读 ( 1198 )
如何利用burp+metasploit快速检测&利用 ImageTragick(CVE-2016–3714)
本文《如何利用burp+metasploit快速检测&利用 ImageTragick(CVE-2016–3714)》 由ChaMd5安全团队原创投稿安全脉搏,作者为核心成员小meet,安全脉搏…
- 0
- 0
- 黑客
- 发布于 2017-03-28 08:00
- 阅读 ( 511 )
看我如何用树莓派做“魔镜”
本文《看我如何用树莓派做“魔镜”》 由一叶知安团队原创投稿安全脉搏首发,作者Catsay,安全脉搏独家首发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 一、材料 树莓派、原子镜、显示器…
- 0
- 0
- 黑客
- 发布于 2017-03-27 08:00
- 阅读 ( 509 )
Python如何防止sql注入
前言 第一个Web漏洞是sql。无论使用哪种语言进行Web后端开发,只要使用关系数据库,就可能会遇到SQL注入攻击。 那么如何在Python Web开发过程中进行sql注入,以及如何解决这个问题呢? 我不想...
- 0
- 0
- 黑客
- 发布于 2017-03-27 00:00
- 阅读 ( 1206 )
Burpsuite抓包Android模拟器(AVD)设置
在测试Android应用程序时,您可以使用Android模拟器。常见的模拟器,如Android工作室附带的AVD,以及其他一些如夜神Android模拟器。 您可能需要捕获应用程序,获取一些接口请求以及执行包重播。...
- 0
- 0
- 黑客
- 发布于 2017-03-25 00:00
- 阅读 ( 1696 )
