回归最本质的信息安全

丝绸之路
丝绸之路 嘶吼认证

嘶吼认证-特约作者/译者

发私信
  • 他的文章(89)
  • 他的评论(2)
  • 技术

    IoT设备安全斩杀链剖析

    对于智能设备来说,每一个安全功能必须由制造商提供资金来实现。不幸的是,有很多智能设备存在很大的安全漏洞,这为远程攻击者提供了便利。用户甚至不认为他们的设备是危险的,这些设备可以在几秒钟内被黑客入侵。

    2017年11月23日

    5,201
    0
    0
    ·
  • 业务安全

    Web网页爬虫对抗指南 Part.1

    从本质上来讲,阻止Web 爬虫就意味着你需要让脚本和机器难以从你的网站上获取它们所需的数据,但不能让那些真正的用户和搜索引擎爬取数据变得困难。

    2017年11月21日

    31,907
    0
    5
    ·
  • Web安全

    PHP应用程序在MVC模式中构建安全API

    继续工作 在本系列文章的第一部分和第二部分我介绍了一些我们构建API所需要的基础库和基本概念。现在我们将进入本系列文章的第三部分,在这之前,我想再回顾一下第一和第二部分的内容,总结一些可以帮助我们走的更长远的一些东西。我相信

    2017年11月20日

    17,291
    0
    4
    ·
  • Web安全

    一次Java反序列化漏洞的 “盲”利用

    在黑盒渗透测试中,我们遇到了一个Java Web应用程序,它向我们提供了一个登录页面。尽管我们设法绕过了认证机制,但是我们却做不了什么事情。攻击面还是很小,只能篡改一些东西。

    2017年11月18日

    24,549
    0
    6
    ·
  • 二进制安全

    Android BlueBorne (CVE-2017-0781)漏洞分析和利用

    几天前,Armis公司发布了一个通过蓝牙攻击Android系统的远程代码执行安全漏洞(CVE-2017-0781)的PoC,这个漏洞也叫做BlueBorne。尽管BlueBorne是一组8个漏洞的集合,但是这个PoC只用了其中的2个来实现攻击目的。

    2017年11月17日

    33,289
    0
    3
    ·
  • 技术

    Travis CI 及 Github 安全漏洞分析

    在过去的6年里,使用Travis CI的私人Github存储库很容易受到特权升级漏洞的攻击。在某些配置下,具有只读的Github仓库访问权限的攻击者可以通过提交请求来更改代码。

    2017年11月16日

    27,912
    0
    0
    ·
  • 漏洞

    CVE-2011-2894:Spring RCE漏洞分析和利用

    这篇文章的内容是关于一个老的RCE漏洞的分析和利用,这个漏洞产生的原因是因为应用程序的反序列化过程中接收了来自不受信任来源的数据流,并且在应用程序的类路径中存在Spring。我前段时间写了一个Exp来利用这种序列化漏洞,并决定公布我

    2017年11月14日

    35,579
    0
    0
    ·