安全工具
系统安全
可信执行环境介绍——ARM的TrustZone
ARM的TrustZone硬件技术可以支持TEE实现,本文将具体讲解TrustZone,包括它的技术和问题。
web安全
nodejs反序列化漏洞利用getshell
node.js的序列化过程中存在远程代码执行漏洞。更直白的说,其实是node.js的node-serialize库存在漏洞。通过传输JavaScript IIFE(立即执行函数表达式),攻击者可以利用恶意代码(不受信任的数据),在反序列化过程中远程执行任意代码。
安全工具
Burp Extractor扩展工具介绍
Burp的cookie jar是一个非常趁手的工具,在很多情况下让渗透测试变得更加容易。有了这个工具,不同的用户在repeater中重放请求或者扫描上一个会话中发出的请求就不再那么麻烦。
漏洞
metasploit模块可以利用shellshock漏洞getshell
过去5年中出现的最严重的漏洞之一就是shellshock漏洞,此漏洞允许攻击者通过Unix bash shell远程执行任意代码。此漏洞出现有一段时间了,不过由于连接到web的Unix主机普遍存在,所以这个漏洞还是有很大威胁的,尤其是那些没有打补丁的系统。