CSS in JS攻击面综合分析
CSS in JS允许开发者将JavaScript变量插入到CSS中,虽然这打破了 JS 和 CSS 之间的边界,为 CSS 注入提供了新的攻击界面,但前提是,它安全吗?
9小时 前
以扑克游戏网站为例,实战Flash应用程序渗透测试
在这篇文章中,我将通过详细的步骤来截取、检查、修改和重演基于Flash的web应用程序。出于演示目的,我选择了一个21点 (Blackjack)的纸牌游戏。我将努力控制哪些牌应该处理,以及如何计算游戏得分。
10小时 前
CVE-2016-10191 FFmpeg RTMP Heap Buffer Overflow 漏洞分析及利用
FFmpeg是一个著名的处理音视频的开源项目,使用者众多。2016年末paulcher发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190、CVE-2016-10191以及CVE-2016-10192。
2017年09月21日
CCleaner恶意代码分析预警
Piriform官方发布安全公告,称旗下软件CCleaner多版本 篡改并植入了恶意代码。360CERT经过跟踪分析,确认官方描述的版本中确实存在恶意代码,且该恶意代码具备执行任意代码的功能,影响严重。
2017年09月18日
小心找工作时被挖坑,有人利用 LinkedIn 发送钓鱼链接
对于找工作的人来说,有几个网站是必关注的,比如LinkedIn。所以当他们发现自己的账号里有新消息时,总会迫不及待地点开关注一下。而这一点,恰好被网络钓鱼的犯罪分子所里用。
2017年09月18日
一次服务器被攻击的应急行动
如果你的PHP服务器被黑客入侵时该怎么办?这是我最近处理linux web服务器发现的一个问题。PHP服务器被黑时,会出现新的PHP文件,这与运行在服务器上的wordpress应用程序和特定的用户代理没有任何关系,所有的流量都被重定向到另一个站点。
2017年09月18日
通过DNS控制主机以及执行命令
即使在一些限制非常严格的环境下,DNS协议还是允许处理内部和外部的通讯的。所以通过dns就可以建立起目标主机和命令&控制服务器之间的通讯。
2017年09月16日
在一款D-Link消费级路由器上,我发现了10个严重漏洞
研究人员称,D-Link 850L是一款设计糟糕的路由器,存在大量漏洞。从LAN到WAN,所有一切都存在问题。
2017年09月15日
通过DNS响应欺骗来绕过域控制验证
Detectify是基于SaaS网站安全扫描工具,当用户进行验证时,Detectify将执行DNS查询并检查相应字符串。让我们来看看它是如何通过 DNS 响应欺骗来绕过域控制验证。
2017年09月15日