歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!
  • 如何搭建TCP代理(一)
  • 如何搭建TCP代理的項目還是源于我的一次有趣的嘗試,有天下午,我打算攻擊流行約會應用程序的用戶定位功能。我想看看它們是否容易受到攻擊,這些攻擊可以逆轉受害者用戶的位置。我的計劃是欺騙每個目標應用程序的數千......
  • 所屬分類:WEB安全 更新時間:2020-03-13 相關標簽: 閱讀全文...
  • 欺騙 SSDP 和 UPnP 設備獲取憑證
  • 欺騙 SSDP 回復并創建假的 UPnP 設備來獲取憑證和 NetNTLM 挑戰/響應。 目錄 · 介紹 · 什么是 SSDP? · 什么是 UPnP 設備? · 安裝 · 欺騙 SSDP 掃描儀 · 模板配置......
  • 所屬分類:WEB安全 更新時間:2020-03-13 相關標簽: 閱讀全文...
  • 從防護角度看一句話木馬的發展變形
  • 一、前言 一句話木馬用到了一個比較有趣的命令下發思路,即不直接發送命令編碼,而是將命令代碼直接發送給木馬端執行,這樣木馬端文件會特別小,而由于每條命令需要通過網絡傳輸,數據包會比較大。這些工具的流量也......
  • 所屬分類:WEB安全 更新時間:2020-03-12 相關標簽: 閱讀全文...
  • 代碼審計 | SiteServerCMS身份認證機制
  • 一、前言 SiteServerCMS是一款開源免費的企業級CMS系統,功能比較豐富,代碼一多起來,難免會有些漏洞產生,之前應急響應碰到過幾次這個系統,有些問題修復了,有些問題依然還在,趁著整理之前零散的資料,結合6.14......
  • 所屬分類:WEB安全 更新時間:2020-03-11 相關標簽: 閱讀全文...
  • 基于機器學習檢測僵尸網絡中的域名生成算法
  • 0x01 Absert 惡意軟件通常使用域名生成算法(DGA)作為聯系其C&C服務器的機制。近年來,基于機器學習已經提出了不同的方法來自動檢測生成的域名。但也存在一些問題。第一個問題是,由于缺乏獨立標準,難以系統地......
  • 所屬分類:WEB安全 更新時間:2020-03-11 相關標簽: 閱讀全文...
  • 記一次授權網絡攻防演練:屢敗屢戰的一次實戰經歷
  • 本文僅限技術研究與討論,僅用于信息防御技術,嚴禁用于非法用途,否則產生的一切后果自行承擔! 這幾天為了給大家分享技術干貨,可以用廢寢忘食來形容了!現在疫情還是依舊很嚴峻,大家還是呆在家里安安靜靜看我的......
  • 所屬分類:WEB安全 更新時間:2020-03-09 相關標簽: 閱讀全文...
  • 從防護角度看Thinkphp歷史漏洞
  • 一、前言 19年初,網上公開了2個Thinkphp5的RCE漏洞,漏洞非常好用,導致有很多攻擊者用掃描器進行全網掃描。我們通過ips設備持續觀察到大量利用這幾個漏洞進行批量getshell的攻擊流量,本文主要從流量角度簡要分析......
  • 所屬分類:WEB安全 更新時間:2020-03-06 相關標簽: 閱讀全文...
  • DarkUniverse:神秘的APT框架
  • 2017年4月,ShadowBrokers發布了知名的Lost in Translation泄露事件,其中含有一個可以在被黑的系統中檢查其他APT的蹤跡。 2018年,研究人員發現了描述該腳本第27個函數的APT,研究人員將其命名為DarkUniverse。該......
  • 所屬分類:WEB安全 更新時間:2020-03-05 相關標簽: 閱讀全文...
  • SharePoint站點頁面安全性分析
  • 如果大家使用過SharePoint,那么應該會對兩種ASPX頁面比較熟悉: 應用程序(Application)頁面 站點(Site)頁面 應用程序頁面無法自定義,這類頁面存放在文件系統中,負責基礎性任務。比如/_layouts/[version]/s......
  • 所屬分類:WEB安全 更新時間:2020-03-03 相關標簽: 閱讀全文...
  • 如何在Google Web Toolkit環境下Getshell
  • Google Web Toolkit簡稱(GWT),是一款開源Java軟件開發框架。今天這篇文章會介紹如何在這樣的環境中通過注入表達式語句從而導致的高危漏洞。 漏洞介紹 在WEB-INF/web.xml中,我發現了以下的web端點映射:......
  • 所屬分類:WEB安全 更新時間:2020-03-03 相關標簽: 閱讀全文...
  • 冠狀病毒熱點引發持續攻擊事件
  • 武漢冠狀病毒的爆發成為各領域威脅行為者利用其進行投放攻擊的熱點。從PC端的巴西某黑產利用疫情相關視頻暗地里安裝銀行木馬、Emotet通過分發附有日本冠狀病毒患者報道的電子郵件傳播惡意病毒到移動端的攻擊者通過冠......
  • 所屬分類:WEB安全 更新時間:2020-03-02 相關標簽: 閱讀全文...
  • 2020年仍然有效的一些XSS Payload
  • 其實,現在網絡上很多的XSS Cheat Sheet都已經過期了。很多的XSS Cheat Sheet都是直接從其他地方粗制粘貼過來的,而且有的測試用例早在十年前就已經沒用了,但是也沒人去整理和清理。除此之蛙,在大多數情況下我們......
  • 所屬分類:WEB安全 更新時間:2020-02-28 相關標簽: 閱讀全文...
  • Snapchat不當輸入驗證漏洞導致的任意構造短信發送
  • 今天分享的這篇Writeup是關于Snapchat網站的不當輸入驗證漏洞,攻擊者可利用該漏洞,向受害者手機以短信方式發送任意構造的文本或URL鏈接,從而實現進一步的惡意破壞或攻擊,漏洞最終獲得了$1000的獎勵。 漏洞概況......
  • 所屬分類:WEB安全 更新時間:2020-02-27 相關標簽: 閱讀全文...
  • Pikachu靶場系列之XSS釣魚攻擊與PHP中的HTTP認證
  • 最近在Pikachu靶場中復現釣魚攻擊時,最后一步Basic認證后數據無法發送到后臺,而是一直重復彈出認證提示框。經過一番折騰后終于發現了原因并解決。 原因 先貼出后臺fish.php代碼 $_SERVER); if ((!isset($_SERV......
  • 所屬分類:WEB安全 更新時間:2020-02-26 相關標簽: 閱讀全文...
  • 入侵分析鉆石模型學習筆記
  • 前言 《The Diamond Model of Intrusion Analysis》是Sergio Caltagirone等人在2013年發表的一篇論文,這篇論文詳細介紹了一個描述入侵分析的模型,作者稱之為“鉆石模型”。本文是安恒安全研究院獵影團隊基于該論文......
  • 所屬分類:WEB安全 更新時間:2020-02-25 相關標簽: 閱讀全文...
  • 多云安全之容器安全
  • 0x00、多云管理 IT基礎設施建設的發展史告訴我們,合久必分,分久必合。 @1、公有云時代: 國外AWS、國內阿里云引領云計算的大潮,很多企業都享受著公有云帶來云主機彈性售賣模式、BGP網絡的低延時、OSS革命性的存......
  • 所屬分類:WEB安全 更新時間:2020-02-24 相關標簽: 閱讀全文...
  • Anubis新的網絡釣魚活動
  • 自從2018年7月首次撰寫有關Anbuis的文章以來,Anubis的惡意下載程序的新版本會定期出現在Google Play市場和第三方應用程序商店中。成功安裝和激活后,這些應用程序將在等待一段時間后下載并激活其惡意代碼。這個簡單......
  • 所屬分類:WEB安全 更新時間:2020-02-24 相關標簽: 閱讀全文...
  • Vulhub漏洞靶場搭建
  • Vulhub是一個面向大眾的開源漏洞靶場,無需docker知識,簡單執行兩條命令即可編譯、運行一個完整的漏洞靶場鏡像。旨在讓漏洞復現變得更加簡單,讓安全研究者更加專注于漏洞原理本身。 物理機:Windows 10 虛擬機:......
  • 所屬分類:WEB安全 更新時間:2020-02-22 相關標簽: 閱讀全文...
  • 用ModSecurity啟動WAF的一次小試
  • 在CfgMgmtCamp期間,我參加了FranziskaBühler(@bufrasch)主題為《WAF——您的DevOps pipeline的朋友?》的演講。她談到了Web應用程序防火墻(WAF)和OWASP的核心規則集(CRS)。 考慮到我自己經歷......
  • 所屬分類:WEB安全 更新時間:2020-02-22 相關標簽: 閱讀全文...
  • Vlunstack ATT&CK實戰系列0×1
  • Over the mountains,mountains.我翻山越嶺,才發現無人等候。 這個靶場是紅日安全團隊的一個靶場項目~ 非常好,方便了我這類懶得搭建域(不會)的人。 如有謬誤懇請指出 環境下載 http://vulnstack.qiyuanxuetan......
  • 所屬分類:WEB安全 更新時間:2020-02-20 相關標簽: 閱讀全文...
  • 注冊模塊上線前安全測試checklist
  • 許多應用系統都有注冊模塊,正常用戶通過注冊功能,獲得應用系統使用權限;而非法用戶通過注冊模塊,則是為了達到不可告人的目的,非法用戶可以通過注冊模塊與服務端進行交互(一切用戶輸入都不可信),因此系統上線......
  • 所屬分類:WEB安全 更新時間:2020-02-20 相關標簽: 閱讀全文...
  • Vlunstack ATT&CK實戰系列0×1
  • Over the mountains,mountains.我翻山越嶺,才發現無人等候。 這個靶場是紅日安全團隊的一個靶場項目~ 非常好,方便了我這類懶得搭建域(不會)的人。 如有謬誤懇請指出 環境下載 http://vulnstack.qiyuanxuetan......
  • 所屬分類:WEB安全 更新時間:2020-02-19 相關標簽: 閱讀全文...
  • HTB-Re 滲透全記錄
  • 前言 春節閉門不出,在家刷HTB練習滲透,目前Re這個box已經retired,因此把總結的詳細滲透過程發出來。這個box用到了OpenOffice宏后門,Winrar目錄穿越和UsoSvc服務提權。最后拿到system權限讀flag還折騰了不少......
  • 所屬分類:WEB安全 更新時間:2020-02-19 相關標簽: 閱讀全文...
  • 避免憑證轉儲攻擊的5個技巧
  • 在Windows設備網絡上使用這五個技巧,減少企業組織遭受憑證轉儲攻擊的漏洞風險。 憑證轉儲是攻擊者永久獲取網站訪問的一項重要技術。他們通過網絡釣魚潛入工作網站后,利用管理員管理和監視網絡的常用方法來獲取公開......
  • 所屬分類:WEB安全 更新時間:2020-02-18 相關標簽: 閱讀全文...
  • 從免費的WEB應用防火墻hihttps談機器學習之生成對抗規則過程
  • hihttps是一款免費的web應用防火墻,既支持傳統WAF的所有功能如SQL注入、XSS、惡意漏洞掃描、密碼暴力破解、CC、DDOS等,又支持無監督機器學習,自主對抗,重新定義web安全。 今天筆者就從web安全的角度,介紹hihtt......
  • 所屬分類:WEB安全 更新時間:2020-02-17 相關標簽: 閱讀全文...
  • 負載均衡有多神密?來研究下ShareWAF的開源負載均衡
  • ShareWAF有一款開源的負載均衡,名為ShareWAF-Blance(后文也簡稱其為Blance),本文通過解析這款負載均衡工具,來揭開負載均衡的神秘面紗,了解它的原理、了解它的工作方式,最后奉上干貨:ShareWAF-Blance的完整源......
  • 所屬分類:WEB安全 更新時間:2020-02-17 相關標簽: 閱讀全文...
  • 用NodeJS實現反爬蟲,原理&源碼放送
  • 爬蟲,網絡安全最大的威脅之一! 根據爬取數據類型而分,爬蟲有不少種類,比如爬取Email地址的、爬取商品價格的、爬取圖片的,而最多的是爬取內容的,內容數據爬蟲是為泛濫的! 爬蟲讓很多人對其深感苦惱,今天的N......
  • 所屬分類:WEB安全 更新時間:2020-02-14 相關標簽: 閱讀全文...
  • 本類最新更新
    • 本類熱門文章
      • 最新下載
        • 標簽云集
        神秘东方电子游艺 老快3中奖规则 吉林11选5开奖结果 私募基金备案须知2019 在线麻将游戏4人打 下载打麻将游戏 广西11选5走势图手机版 澳洲幸运5技巧打法0369 宝博网址 手机下载电影a片 双色球胆码拖码怎么中奖 吉林微乐长春麻将 太行山西麻将临汾版 新快赢481走势图今天 薇乐贵阳捉鸡麻将下 闲聊闲来江西麻将 5分3d有什么技巧