安全小课堂第121期【URL注入攻击】
URL注入攻击,与XSS、SQL注入类似,也是参数可控的一种攻击方式。URL注入攻击的本质是URL参数可控。攻击者可通过篡改URL地址,修改为攻击者构造的可控地址,从而达到攻击目的。JSRC …
- 0
- 0
- 黑客
- 发布于 2018-12-06 08:00
- 阅读 ( 1264 )
黑客
三星安卓浏览器中出现严重的“同源策略”绕过漏洞
翻译声明 本文是一篇翻译文章,原作者Mohit Kumar,文章来源:thehackernews.com 原文地址:https://thehackernews.com/2017/12/same-origin-policy-bypass.html 数百万台三星Android...
- 0
- 0
- 黑客
- 发布于 2018-01-04 00:00
- 阅读 ( 1262 )
专业接单黑客联系方式
Confluence Server 代码执行漏洞CVE: CVE-2019-3396漏洞描述Atlassian Confluence Server是澳大利亚Atlassian公司的一套专业的企业知识管…
- 0
- 0
- 黑客
- 发布于 2019-04-09 08:00
- 阅读 ( 1261 )
【技术分享】看我如何利用他人的账号来发推文
写在前面的话 最近,在社交网络Twitter(遵循Twitter的漏洞奖励计划)的漏洞挖掘过程中,我发现了一个漏洞,允许攻击者冒充Twitter用户发送推文,攻击者在整个过程中根本不需要访问。目标用...
- 0
- 0
- 黑客
- 发布于 2017-05-26 00:00
- 阅读 ( 1258 )
Hash-Buster v2.0:一种可以调用多个API进行哈希查询的工具
今天我要介绍一个名为Hash Buster的工具。您可以使用此工具提供的API服务来执行哈希查询。 特征 1. 自动识别哈希类型; 2. 支持MD5,SHA...
- 0
- 0
- 黑客
- 发布于 2018-06-26 00:00
- 阅读 ( 1253 )
【技术分享】浅析 Web Cache 欺骗攻击(含演示视频)
前言 当我们访问https://时,我想知道你是否曾经想过一个想法www.paypal.com/myaccount/home/stylesheet.css,或者https://www.paypal.com/myaccount/settings/notifications/logo.png可能会...
- 0
- 0
- 黑客
- 发布于 2017-05-12 00:00
- 阅读 ( 1253 )
记一次腾讯SDK源代码审计后的CSRF攻击
0x00前言 我进入了ChaMd5安全团队并应M姐姐的邀请撰写了这篇技术文章。本文主要介绍我最近的代码审核腾讯的第三方登录SDK包发现的漏洞。阅读本文要求读者加入OAuth2.0。该协议的原理和...
- 0
- 0
- 黑客
- 发布于 2018-03-24 00:00
- 阅读 ( 1252 )
某通用财务报表系统任意文件下载漏洞
漏洞标题 某通用财务报表系统任意文件下载漏洞 相关厂商 北京久其软件股份有限公司 漏洞作者 路人甲 提交时间 2016-03-27 11:30 公开时间 2016-06-29 10:50 漏洞类型 任…
- 0
- 0
- 黑客
- 发布于 2016-07-17 08:00
- 阅读 ( 1250 )
1月6日技术类安全热点
性能与安全性? CPU芯片利用战斗(2) - Meltdown获取Linux内核数据 https://weibo.com/ttarticle/p/show?id=2309404192925885035405 Intel CPU漏洞简介 https://weibo.com/ttarticle/...
- 0
- 0
- 黑客
- 发布于 2018-01-08 00:00
- 阅读 ( 1249 )
黑客利用Python半自动化生成Nessus报告
0x01 前言Nessus是一个功能强大而又易于使用的远程安全扫描器,Nessus对个人用户是免费的,只需要在官方网站上填邮箱,立马就能收到注册号了,对应商业用户是收费的。当然,个人用户是有16个IP…
- 0
- 0
- 黑客
- 发布于 2019-03-18 08:00
- 阅读 ( 1247 )
谨防“神秘人”勒索病毒X_Mister偷袭
一、样本简介近期,国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒,此勒索病毒的某些行为与Globelmposter类似,因联系邮箱中带有x_mister而被命名为X_Mister…
- 0
- 0
- 黑客
- 发布于 2019-04-26 08:00
- 阅读 ( 1246 )
【技术分享】iOS版微信处理GIF表情不当导致闪退分析
一、 背景情况 从5月17日开始,天线宝贝的GIF表达在每个微信群中流传。在iOS版微信中,只要打开包含此GIF表达式的聊天窗口,就会导致微信闪回。 在具体分析之前,猜测了崩溃的原...
- 0
- 0
- 黑客
- 发布于 2017-05-28 00:00
- 阅读 ( 1246 )
一种结合了点击劫持、Self-XSS、复制粘贴劫持的新型XSS攻击
从对等方接收数据时失败 假设您现在是黑客并且您已经建立了一个论坛,可以在注册页面上设置两个常见要求“输入您的电子邮件”和“重新输入您的电子邮件”。然后在“重新输入您的电子邮件”列中悄悄地...
- 0
- 0
- 黑客
- 发布于 2017-04-01 00:00
- 阅读 ( 1244 )
12月18日技术类安全热点
Async_awake:iOS漏洞工具跟进 https://github.com/ninjaprawn/async_awake-fun Zendesk中的XSS利用率 https://medium.com/@shinkurt/exploiting-a-tricky-xss-in-zendesk-80bde...
- 0
- 0
- 黑客
- 发布于 2017-12-19 08:00
- 阅读 ( 1243 )
看我如何利用Webhook绕过支付请求
写在前面 当我们深入研究漏洞奖励计划中的安全漏洞时,我们经常需要找到一些对用户不可见的功能。支付Webhook是一个典型的例子,像Stripe或Braintree这样的支付服务提供商使用这种技术来告知用...
- 0
- 0
- 黑客
- 发布于 2018-04-02 00:00
- 阅读 ( 1237 )
黑客挖掘客户支持聊天系统中的IDOR漏洞($5,000)
大家好,今天的共享写入是关于客户支持的IDOR漏洞(不安全的直接对象引用),这可能导致目标系统的访问控制功能失败并在客户支持平台内实现任何消息。阅读和发送,您还可以为任何用户下载相关文...
- 0
- 0
- 黑客
- 发布于 2019-05-02 00:00
- 阅读 ( 1236 )
Uber平台现身份认证漏洞,利用漏洞可重置任意账户密码
意大利安全专家Vincenzo C. Aka在优步平台上发现了身份验证漏洞,任何帐户都可以使用此漏洞重置密码。这一发现于昨天正式宣布。事实上,七个月前发现了引发“身份危机”的漏洞。 Vincenzo C. Aka...
- 0
- 0
- 黑客
- 发布于 2017-05-23 00:00
- 阅读 ( 1236 )
