黑客利用Empire CMS v7.5个人空间伪造任意用户留言
概观 Empire CMS被称为Empire CMS。目前的最新版本是7.5。个人空间可以是匿名和登录消息。由于权限控制不当,您可以伪造任何用户登录。您可以无聊地玩自己的东西。你可以自己重现它。 相关环境...
- 0
- 0
- 黑客
- 发布于 2019-03-14 00:00
- 阅读 ( 1233 )
黑客
黑客利用十块钱人民币用Digispark制作一个简单的Badusb
Digispark是一个这样的很小的开发板淘宝上10元左右一个准备Digispark ATtiny 85Arduino IDE 1.8.4 (parrot 中的ide是2.x版本的没有Boa…
- 0
- 0
- 黑客
- 发布于 2019-04-23 08:00
- 阅读 ( 1232 )
12月13日技术类安全热点
[反向]一个php加密扩展破解游览 http://blog.th3s3v3n.xyz/2017/12/12/web/Decrypt_php_VoiceStar_encryption_extension/ 使用受信任的在线服务作为C2服务 https://www.cyberis....
- 0
- 0
- 黑客
- 发布于 2017-12-14 08:00
- 阅读 ( 1229 )
挖洞经验 | 看我如何在前期踩点过程中发现价值$4500的漏洞
在本文中,我描述了在上一次侦察步骤中漏洞邀请项目中的Uber子域劫持漏洞的案例。该漏洞是由Uber在暂停AWS服务后未及时删除CNAME域记录引起的。 当我踩到现场时,我才发现。 首先,我用来测试...
- 0
- 0
- 黑客
- 发布于 2018-05-18 00:00
- 阅读 ( 1228 )
NFC支付中继攻击简介
介绍NFC支付中继攻击是一种利用NFC智能卡或移动支付系统与PoS或终端之间的桥梁实时提取数据的攻击。在这个过程中提取信息和在避免延迟的同时建立连接是最重要的部分。我已经发布了关于NFC技术的一些介绍…
- 0
- 0
- 黑客
- 发布于 2018-12-19 08:00
- 阅读 ( 1225 )
黑客Winafl中基于插桩的覆盖率反馈原理
最近winafl增加支持对Intel PT的支持的,但是只支持x64,且覆盖率计算不全,比如条件跳转等,所以它现在还是不如直接用插桩去hook的方式来得准确完整,这里主要想分析也是基于 DynamoR…
- 0
- 0
- 黑客
- 发布于 2019-02-11 08:00
- 阅读 ( 1223 )
【技术分享】任意伪造大站域名(以Apple官网为例)
你相信这是一个钓鱼网站的域名吗? Punycode允许域名由外语组成。 Punycode使用ASCII字符集将外部域名转换为有意义的字符。例如,域名“xn--s7y.co”将转换为“short.co”。 从安全角度来看,由...
- 0
- 0
- 黑客
- 发布于 2017-04-18 00:00
- 阅读 ( 1223 )
挖洞经验 | 看我如何在Jive-n中发现了一个XXE漏洞 (CVE-2018-5758)
写在前面 许多渗透测试人员对各种不同的服务和应用程序执行安全测试,但他们倾向于忽略他们的产品和服务。在这种情况下,它们可能成为攻击者的主要目标。毕竟,“最危险的地方是最安全的。”在本...
- 0
- 0
- 黑客
- 发布于 2018-03-27 00:00
- 阅读 ( 1213 )
超声波追踪技术可以暴露Tor用户的真实信息(去匿名化,含视频)
许多广告客户在其网络广告中使用了名为uXDT的技术。此技术可帮助他们跟踪访问习惯,以便他们可以更具体地将广告定位到用户。此时,攻击者可以嵌入可以在网页中发射超声的广告或JavaScript代码...
- 0
- 0
- 黑客
- 发布于 2017-02-19 00:00
- 阅读 ( 1212 )
黑客散播FakeFolder病毒真假文件夹捣乱企业内网?
1. 背景概述近期,深信服安全团队接到客户反馈,内网中出现了大量伪造成文件夹的可疑exe文件,删掉以后仍会反复。经深信服安全团队分析发现,这是一个蠕虫病毒FakeFolder,该病毒会通过U…
- 0
- 0
- 黑客
- 发布于 2019-04-24 08:00
- 阅读 ( 1211 )
【技术分享】通过短信进行XSS攻击:在Verizon Message应用中利用文本消息进行攻击
Verizon 消息(消息+)是用于移动,桌面和Web应用程序的软件客户端的集合,用于促进和统一跨设...
- 0
- 0
- 黑客
- 发布于 2017-05-24 00:00
- 阅读 ( 1207 )
我是如何获取全域用户明文密码的?
介绍 除了组策略,Windows允许您自定义密码策略,滥用此机制来实现某些恶意行为。今天对于科学界的每个人 当我按CTRL + ALT + DEL更改Windows服务器端的用户密码时会发生什么? 首先,Windows服...
- 0
- 0
- 黑客
- 发布于 2017-03-22 00:00
- 阅读 ( 1207 )
3月23日技术类安全热点
国内纸质书Bambook破解注意到 http://www.droidsec.cn/%E5%9B%BD%E4%BA%A7%E7%94%B5%E7%BA%B8%E4%B9%A6bambook%E7%A0%B4%E8%A7%A3% E7%AC%94%E8%AE%B0 / WPHunter:Wordpress漏洞...
- 0
- 0
- 黑客
- 发布于 2018-03-24 00:00
- 阅读 ( 1206 )
【漏洞预警】福昕PDF阅读器存在2处高危漏洞,厂商却拒绝修复?(含演示视频)
使用福昕 (Foxit) PDF阅读器的用户要特别注意了,安全研究人员在其中发现了两个严重的0day漏洞,如未将阅读器配置为在安全阅读模式下打开文件,就会让攻击者在目标计算机上执行任意代码...
- 0
- 0
- 黑客
- 发布于 2017-08-21 00:00
- 阅读 ( 1205 )
Python如何防止sql注入
前言 第一个Web漏洞是sql。无论使用哪种语言进行Web后端开发,只要使用关系数据库,就可能会遇到SQL注入攻击。 那么如何在Python Web开发过程中进行sql注入,以及如何解决这个问题呢? 我不想...
- 0
- 0
- 黑客
- 发布于 2017-03-27 00:00
- 阅读 ( 1205 )
【技术分享】Android恶意软件模拟器检测技术
Failure when receiving data from the peer 所有模拟器检测的关键是确定模拟器的操作环境与真实机器之间的差异。首先,仿真器上的设备ID,移动电话号码,IMEI号码和IMSI号码与真实设备不同。 a...
- 0
- 0
- 黑客
- 发布于 2017-04-25 00:00
- 阅读 ( 1199 )
