歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!
  • 利用Python腳本實現漏洞情報監控與通知的經驗分享
  • 本文主要介紹了筆者利用一個簡單的Python腳本實現漏洞情報的監控以及自動通報的相關經驗。 一、背景 筆者所在公司某一個業務系統用到了漏洞頻發的Struts2框架,S2-045爆發的時候剛好是剛進公司不久,還沒有落實好漏......
  • 所屬分類:腳本安全 更新時間:2019-08-26 相關標簽: 閱讀全文...
  • 論Nmap中一些常用的NSE腳本
  • 在這篇文章中,我們將研究最著名的滲透工具之一 Nmap 一款標志性的跨平臺掃描器。它的原意為Network Mapper(網絡映射器),具有相當強大的掃描功能,幾乎適用于任何滲透場景。不少人甚至認為它就是全球最好的掃描軟......
  • 所屬分類:腳本安全 更新時間:2019-08-22 相關標簽: 閱讀全文...
  • 國家棒球名人堂網站被植入信息竊取腳本
  • 位于紐約州庫珀斯敦的國家棒球名人堂的網站被黑客入侵,其中包括了一個惡意的MageCart腳本,該腳本竊取了在網站上購買商品的客戶的支付信息。 根據加州安全漏洞通知服務提交的通知,美國國家棒球名人堂網站在2018......
  • 所屬分類:腳本安全 更新時間:2019-08-12 相關標簽: 閱讀全文...
  • XSS利用中的一些小坑
  • 隨著時間的推移,簡單使用alert(1)和python –m SimpleHTTPServer的黃金年代已經不復存在。現在想通過這些方法在locahost之外實現XSS(Cross-Site Scripting)以及竊取數據已經有點不切實際。現代瀏覽器部署了許......
  • 所屬分類:腳本安全 更新時間:2019-08-12 相關標簽: 閱讀全文...
  • Macro_Pack中的宏代碼混淆方法分析
  • 宏混淆工具 Macro_Pack是一個用于自動化混淆及生成Office文檔、VB腳本、快捷方式等文件的工具,其主要用于滲透測試、demo以及社會工程學評估。macro_pack的目標是簡化利用流程,反惡意軟件繞過,并自動化實現從vba生......
  • 所屬分類:腳本安全 更新時間:2019-08-09 相關標簽: 閱讀全文...
  • Frenchy shellcode分析
  • 在這篇文章中,我分析了一個名為“Frenchy shellcode”的shellcode,因為它創建了互斥鎖(其中一些版本有互斥鎖)。 這個shellcode通過不同的packers加載了不同種類的惡意軟件。 因此,我決定研究一下這個shellcode并......
  • 所屬分類:腳本安全 更新時間:2019-08-07 相關標簽: 閱讀全文...
  • XSS繞過實戰練習
  • 我寫這篇文章起源來自于一次網絡安全實驗課,在實驗虛擬環境里有一個xss挑戰,估計是搬別人的xss挑戰進來,我覺得挺有意思,就記錄一下。有些關卡不能再虛擬環境實踐,我在自己物理機上找到那個xss挑戰平臺進行實現。......
  • 所屬分類:腳本安全 更新時間:2019-06-19 相關標簽: 閱讀全文...
  • Mybb 18.20 From Stored XSS to RCE 分析
  • 2019年6月11日,RIPS團隊在團隊博客中分享了一篇MyBB ,文章中主要提到了一個Mybb18.20中存在的存儲型xss以及一個后臺的文件上傳繞過。 其實漏洞本身來說,畢竟是需要通過XSS來觸發的,哪怕是儲存型XSS可以通過私信等......
  • 所屬分類:腳本安全 更新時間:2019-06-14 相關標簽: 閱讀全文...
  • 看我如何利用JavaScript全局變量繞過XSS過濾器
  • 寫在前面的話 如果你發現你的攻擊目標存在XSS漏洞,但是你所有的漏洞利用嘗試似乎都被XSS過濾器(或輸入驗證和Web應用防火墻規則)屏蔽掉了的話,那你該怎么辦?非常好,在這篇文章中,我們將告訴大家如何利用......
  • 所屬分類:腳本安全 更新時間:2019-06-13 相關標簽: 閱讀全文...
  • 從XSS漏洞到四步CSRF利用實現賬戶劫持
  • 作者前不久在HackerOne上參加了一個漏洞眾測邀請項目,目標測試應用(系統)的功能是為一些企業托管相關服務,普通用戶可以通過該系統進行注冊,然后使用這些服務。所以,該應用中會涉及到很多用戶的敏感信息處理操......
  • 所屬分類:腳本安全 更新時間:2019-05-29 相關標簽: 閱讀全文...
  • 濫用jQuery導致CSS時序攻擊
  • 亞瑟·薩夫尼斯(Arthur Saftnes)去年發表了一篇非常棒的文章,介紹了他在利用CSS選擇器和Javascript進行時序攻擊方面的研究成果。說實話,它可能是我去年最喜歡的一篇文章。 注:如果你是第一次接觸這類攻擊......
  • 所屬分類:腳本安全 更新時間:2019-05-25 相關標簽: 閱讀全文...
  • Intigriti XSS挑戰全教程
  • 寫在前面的話 Intigriti近期發布了一個非常有意思的XSS挑戰項目,該項目要求我們制作一個特殊的URL,而這個URL不僅要能夠給iframe分配src參數,而且還要能夠發送eval()調用來彈出一個“alert(document.domain)......
  • 所屬分類:腳本安全 更新時間:2019-05-14 相關標簽: 閱讀全文...
  • FRIDA腳本系列(四)更新篇:幾個主要機制的大更新
  • 最近沉迷學習,無法自拔,還是有一些問題百思不得騎姐,把官網文檔又翻了一遍,發現其實最近的幾個主要版本,更新還是挺大的,遂花了點時間和功夫,消化吸收下,在這里跟大家分享。 進程創建機制大更新 存在的問......
  • 所屬分類:腳本安全 更新時間:2019-05-05 相關標簽: 閱讀全文...
  • 使用Sboxr自動發現和利用DOM(客戶端)XSS漏洞
  • 這一系列的文章將向你展示如何在單頁或富JavaScript的應用程序上識別DOM XSS的問題。作為示例,我們將在DOM XSS playground(https://domgo.at)上解決10個練習題目,并為檢測到的問題創建了簡單的概念證明漏洞。 這......
  • 所屬分類:腳本安全 更新時間:2019-04-24 相關標簽: 閱讀全文...
  • 使用AutoHotkey和Excel中嵌入的惡意腳本來繞過檢測
  • Trend Micro研究人員發現一個使用合法腳本引擎AutoHotkey和惡意腳本文件的攻擊活動。該文件以郵件附件的形式傳播,并偽裝成合法文件Military Financing.xlsm。用戶需要啟用宏來完全打開文件,使用AutoHotkey來加載惡......
  • 所屬分類:腳本安全 更新時間:2019-04-22 相關標簽: 閱讀全文...
  • JavaScript 原型鏈污染
  • 0x01 前言 最近看到一篇原型鏈污染的文章,自己在這里總結一下 0x02 javascript 原型鏈 js在ECS6之前沒有類的概念,之前的類都是用funtion來聲明的。如下 可以看到b在實例化為test對象以后,就可以輸出test......
  • 所屬分類:腳本安全 更新時間:2019-04-22 相關標簽: 閱讀全文...
  • Xss漏洞挖掘新姿勢,XSS ME的“小秘密”
  • 說到xss漏洞挖掘,我們可以看到網上是這個樣子的。 我們會看到有各種xss的文章方便大家了解相關的知識,以及搭建一些平臺進行學習。而我最近在挖洞的時候,掌握了一種新的“姿勢”,發現火狐瀏覽器的一款插件......
  • 所屬分類:腳本安全 更新時間:2019-04-19 相關標簽: 閱讀全文...
  • 測試WAF來學習XSS姿勢(三)
  • 前言 今天又換了款waf,因為waf要IIS環境,我發現我是個手殘黨,一看就懂,操作就廢,搭建個IIS環境沒成功。后來有朋友說我買的服務器有重置系統,那里可以選擇ASP/.NET環境,今天搭建好了。 提醒 本文......
  • 所屬分類:腳本安全 更新時間:2019-04-17 相關標簽: 閱讀全文...
  • 蟻劍客戶端RCE挖掘過程及源碼分析
  • 事情的起因是因為在一次面試中,面試官在提到我的CVE的時候說了我的CVE質量不高。簡歷里那幾個CVE都是大一水過來的,之后也沒有挖CVE更別說高質量的,所以那天晚上在我尋思對哪個CMS下手挖點高質量CVE的時候,我盯上......
  • 所屬分類:腳本安全 更新時間:2019-04-15 相關標簽: 閱讀全文...
  • 測試WAF來學習XSS姿勢(二)
  • 對于我這個菜鳥來說,我通過谷歌百度學習到很多前輩的資料,甚至每句話都是他的指導,我也很感激前輩的為我們鋪設的道路,讓我們更快的成長起來。我也樂于分享,可能有些知識點過于單調或者久遠,請見諒。 waf ......
  • 所屬分類:腳本安全 更新時間:2019-04-15 相關標簽: 閱讀全文...
  • 值得關注的威脅類別--利用腳本語言解析器過主防
  • 終端安全軟件功能可以分為兩大部分,一部分是殺毒,另一部分是主防。主流安全軟件幾乎都同時包含兩種功能。 殺毒方面10多年前開始已經有比較多的攻防對抗方式,這里不作過多討論,本文主要討論主防。 主防主要作用......
  • 所屬分類:腳本安全 更新時間:2019-04-10 相關標簽: 閱讀全文...
  • 測試WAF來學習XSS姿勢
  • 0x00 搭建環境 本地搭建測試waf測試,xss相關防護規則全部開啟。 0x01 Self-Xss繞過 測試腳本 $input = @$_REQUEST["xss"]; echo "".$input."" ?> 首先思路就是一些被waf遺漏的標簽,暫時不考......
  • 所屬分類:腳本安全 更新時間:2019-04-10 相關標簽: 閱讀全文...
  • 深入分析感染各網站的信用卡側錄腳本——Magecart(上)
  • 2018年年末,包括英國航空公司網站、新蛋網、使用Feedify的網站以及其他數十家網站在內的數十萬名客戶遭到了信用卡側錄腳本MageCart的入侵。該腳本的名字來源于電子商務平臺Magento的名稱。 客戶的個人資料究竟是如......
  • 所屬分類:腳本安全 更新時間:2019-04-09 相關標簽: 閱讀全文...
  • 使用JS繞過同源策略訪問內網
  • 研究人員發現一種利用公網上的JS腳本發起對本地網絡的攻擊,攻擊者使用受害者的瀏覽器作為代理,使代碼可以到達內部主機,并開展監聽活動,甚至對有漏洞的服務發起攻擊。 同源策略是限制不同源的頁面進行交互的web ......
  • 所屬分類:腳本安全 更新時間:2019-04-06 相關標簽: 閱讀全文...
  • APT戰爭中腳本攻擊的兵法之道
  • 孫子曰:“兵者,國之大事,死生之地,存亡之道,不可不察也。”盡管處于和平年代,網絡世界卻硝煙彌漫。請你回答以下360安全大腦提供的自測題,看看你能在這場“戰爭”中“幸存”嗎? 以上問題,如果你有一......
  • 所屬分類:腳本安全 更新時間:2019-04-04 相關標簽: 閱讀全文...
  • FRIDA腳本系列(三)超神篇:百度AI“調教”抖音AI
  • 0x01. 日本抖音美如畫 在萬惡的資本主義國家,女孩子普遍都吃不飽,每天也沒啥事情干,只能在沙灘上曬曬太陽,拍點短視頻填充自己空虛的靈魂,在穿著上也是怎么省怎么來,比如布料普遍不會太多,有時候甚至會用......
  • 所屬分類:腳本安全 更新時間:2019-03-30 相關標簽: 閱讀全文...
  • 繞過WAF的XSS檢測機制
  • 本文提出了一種定義明確的方法來繞過跨站點腳本(XSS)安全機制,通過發送探針并編寫payload用于檢測惡意字符串的規則。擬議的方法包括三個階段:確定payload結構,測試和混淆。 為給定上下文確定各種payload結構提......
  • 所屬分類:腳本安全 更新時間:2019-03-22 相關標簽: 閱讀全文...
  • 本類最新更新
    • 本類熱門文章
      • 最新下載
        • 標簽云集
        神秘东方电子游艺