内网渗透
web安全
一种绕过 CSP 在 Twitter 子站中执行 XSS 的攻击
作为一名安全研究员,一直在挖洞中不断学习,所以我想在这里分享一下我是如何在这么庞大以及安全防护做的很好的一个网站中找到xss漏洞的,同时我还结合了”CSP绕过”这一漏洞进行攻击。
移动安全
实用教程:手动安卓应用中注入msf后门
大多数安卓应用程序都对底层二进制文件缺乏足够的防护,所以攻击者可以很简单的将带有后门的应用程序转换为合法的。这就是安卓手机中恶意软件传播如此迅速的原因之一。
安全工具
Sharkpy:NSA使用的基于wireshark和libpcap分析流量工具
sharkpy是基于wireshark以及libpcap用于解析、分析、网络数据包的python模块。sharkpy中的解析模块继承了wireshark中的tshark命令,并且对它进行了修改。sharkpy中的数据注入以及pcap文件写入是调用了libpcap的函数。
技术
使用apache mod_rewrite方法随机提供payloads
作为渗透测试人员,有时候需要一些虽然比较老套,但是非常棒的方法。比如钓鱼攻击就是其中的一种攻击,它可以获得多台机器的控制权限。这篇文章会关于如何通过apache的mod_rewrite方法有效的在url中提供随机payload。