欢迎来到【血梦博客】 今天是:2021年05月09日 星期日
站长联系QQ:635948183

  • 加密就安全了?一览用户的数据安全盲点

    加密就安全了?一览用户的数据安全盲点

    加密就安全了?一览用户的数据安全盲点追溯至网络通信安全起始之初,数据安全人员就不得不面对证书使用这一挑战。网页证书是传输层安全通信的基础,增加了网络站点连接的安全性,通常显示为“https”中的“s”。作为用户、服务器、机器、物联网设备和访问点的验证核心部分,是用户在各个场合下安全防护的第一步。 现在,当谈及加密风险,人们...

    阅读全文 作者:血梦 日期:2020-05-10 分类: 界内新闻

  • DEDECMS伪随机漏洞 (一) :PHP下随机函数的研究

    DEDECMS伪随机漏洞 (一) :PHP下随机函数的研究

    DEDECMS伪随机漏洞 (一) :PHP下随机函数的研究一 、开篇 在某次复现”dedecms前台任意用户登录漏洞重现及分析”漏洞过程中, 发现这个漏洞的利用点是需要注册并审核通过一个”0000001″用户, 但在实际操作中,发现很多站点注册用户后需要邮件校验,但实际没有配置SMTP, 也就不可能发出邮件,遂分析了其邮件校验的hash生成算法...

    阅读全文 作者:血梦 日期:2020-05-10 分类: 代码审计

  • 一款针对Wordpress开发的代码审计工具——Wpbuttle(工具介绍与源码分析)

    一款针对Wordpress开发的代码审计工具——Wpbuttle(工具介绍与源码分析)

    一款针对Wordpress开发的代码审计工具——Wpbuttle(工具介绍与源码分析)前言 近日发现了一款有意思的PHP静态代码审计工具——Wpbullet。与其他PHP代码审计工具不同的是,Wpbullet是一款针对WordPress插件/主题开发的静态代码分析工具。 Wordpress自身代码尚且可以说很安全,但是其插件的安全却参差不齐,这款工具可以对Wo...

    阅读全文 作者:血梦 日期:2020-05-09 分类: 神兵利器

  • 记一次渗透棋牌APP实录

    记一次渗透棋牌APP实录

    记一次渗透棋牌APP实录利用模拟器安装好APP,然后进行BURP抓包分析 通过各种手工分析,找到某处SQL注入漏洞. 之前信息收集的时候已经知道目标开放1433端口(爆破失败) 因此注入的时候,直接 --dbms=mssql  加快速度. ...

    阅读全文 作者:血梦 日期:2020-05-09 分类: 渗透测试

  • 窥探裸聊诈骗背后黑色产业链的一角

    窥探裸聊诈骗背后黑色产业链的一角

    窥探裸聊诈骗背后黑色产业链的一角近日,奇安信病毒响应中心在日常黑产挖掘过程中发现有人以裸聊的形式在社交网络上传播某种视频直播软件,该软件在提供正常直播内容的同时还会在暗地里收集用户数据,而受害者往往控制不住自己的欲望,导致个人信息被泄露,严重的甚至被敲诈钱财该APK样本经过加固,输入手机号和正确的推广码后才会执行恶意代码将相关信息...

    阅读全文 作者:血梦 日期:2020-05-09 分类: 渗透测试

  • 流量分析的瑞士军刀:Zeek

    流量分析的瑞士军刀:Zeek

    流量分析的瑞士军刀:ZeekZeek (Bro) 是一款大名鼎鼎的开源网络安全分析工具。通过 Zeek 可以监测网络流量中的可疑活动,通过 Zeek 的脚本可以实现灵活的分析功能,可是实现多种协议的开相机用的分析。本文主要是将 Zeek 结合被动扫描器的一些实践的介绍,以及 Zeek 部署的踩过的一些坑。 安装 ...

    阅读全文 作者:血梦 日期:2020-05-09 分类: 神兵利器

  • 黑客声称窃取GitHub 500GB源代码,准备不出售直接泄露

    黑客声称窃取GitHub 500GB源代码,准备不出售直接泄露

    黑客声称窃取GitHub 500GB源代码,准备不出售直接泄露“我们已经成功入侵微软的GitHub私人储存库,并从中窃取了500GB的数据,本来打算在暗网上出售的,现在改变主意了,打算免费发布。” 一名自称Shiny Hunters的黑客主动联系了一家国外媒体,声称其已经入侵微软GitHub账户,获取了这家软件巨头私人存储库的完全访问权。 ...

    阅读全文 作者:血梦 日期:2020-05-09 分类: 渗透测试

  • 手把手用C++解密Chrome80版本数据库

    手把手用C++解密Chrome80版本数据库

    手把手用C++解密Chrome80版本数据库谷歌浏览器Google Chrome 80正式版例行更新详细版本80.0.3987.163。Google Chrome浏览器又称谷歌浏览器采用Chromium内核全球最受欢迎的免费网页浏览器追求速度、隐私安全的网络浏览器。 先说下吧。chrome80以前的版本是直接可以通过DPAPI来进...

    阅读全文 作者:血梦 日期:2020-05-07 分类: 渗透测试

  • GitHound:一款针对GitHub的API密钥和敏感数据搜索工具

    GitHound:一款针对GitHub的API密钥和敏感数据搜索工具

    GitHound:一款针对GitHub的API密钥和敏感数据搜索工具GitHound GitHound可以利用模式匹配、提交历史楼所和一个独特的结果评分系统来精确定位GitHub上的公开API密钥,从本质上来说,GitHound就是一款基于批量爬取、模式匹配和补丁攻击的敏感数据搜索工具。 值得一提的是,目前为止在GitHound的帮助下,我已...

    阅读全文 作者:血梦 日期:2020-05-07 分类: 神兵利器

  • 通过代码重用攻击绕过现代XSS防御

    通过代码重用攻击绕过现代XSS防御

    通过代码重用攻击绕过现代XSS防御XSS已有近二十年的历史了,但它仍然是Web上最常见的漏洞之一。因此,已经发展了许多机制来减轻漏洞的影响。我经常会误以为这些机制可以作为针对XSS的保护。今天,我们将了解为什么情况并非如此。我们将在代码重用攻击领域探索一种相对较新的技术。Web的代码重用攻击于2017年首次描述,可用于绕过大多数现代...

    阅读全文 作者:血梦 日期:2020-05-07 分类: 渗透测试

  • 进攻即是最好的防御!19个练习黑客技术的在线网站

    进攻即是最好的防御!19个练习黑客技术的在线网站

    进攻即是最好的防御!19个练习黑客技术的在线网站进攻即是最好的防御,这句话同样适用于信息安全的世界。这里罗列了19个合法的来练习黑客技术的网站,不管你是一名开发人员、安全工程师、代码审计师、渗透测试人员,通过不断的练习才能让你成为一个优秀安全研究人员。以下网站希望能给各位安全小伙伴带来帮助!若有其他的补充和推荐,欢迎给小编留言(排名不分先后) ...

    阅读全文 作者:血梦 日期:2020-05-04 分类: 渗透测试

  • 黑客有哪几种类型?(10类黑客的介绍)

    黑客有哪几种类型?(10类黑客的介绍)

    黑客有哪几种类型?(10类黑客的介绍)黑客是对任何计算机操作系统的神秘工作方式都非常感兴趣的人。黑客通常是程序员。他们收集操作系统和编程语言的高级知识,发现系统内部的漏洞以及产生这些漏洞的原因。 黑客一般有10种类型,他们是: 1、白帽黑客:白帽黑客是指通过实施渗透测试,识别网络安全漏洞,为政府...

    阅读全文 作者:血梦 日期:2020-05-04 分类: 渗透测试

  • 2019年最受欢迎的20款黑客工具

    2019年最受欢迎的20款黑客工具

    2019年最受欢迎的20款黑客工具今天,统计了全球各大网站数据(浏览量、下载量、使用量等等),为大家总结出了2019年最受欢迎的 20 款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 取前 20 款,但下面列出排名不分先后! 001 ...

    阅读全文 作者:血梦 日期:2020-05-04 分类: 神兵利器

  • Metaspolit下配合Ngrok同时实现内网反弹+转发

    Metaspolit下配合Ngrok同时实现内网反弹+转发

    Metaspolit下配合Ngrok同时实现内网反弹+转发相信大家在渗透测试时如果遇到内网IP瞬间心情就不好了,因为自己是内网,目标也是内网,怎么勾搭上?而且像我这等穷人又没钱买死贵死贵的vps搭建云Kali,怎么办?这时候就要借助内网穿透工具了,网上很多工具都能实现,这里推荐Ngrok。但是我既想通过Ngrok在metaspolit下反弹shell,同时...

    阅读全文 作者:血梦 日期:2020-05-03 分类: 渗透测试

  • uDork:一款功能强大的Google Hacking工具

    uDork:一款功能强大的Google Hacking工具

    uDork:一款功能强大的Google Hacking工具uDork是一款功能强大的Google Hacking工具,uDork本质上来说,是一个采用Python编程语言开发的脚本工具,它可以使用高级Google搜索技术来获取目标文件或目录中的数据、搜索物联网设备,或检测目标Web应用程序的版本相关信息等等。 uDork并不会对任何服务器执行攻...

    阅读全文 作者:血梦 日期:2020-05-03 分类: 神兵利器

  • xShock:一款针对Shellshock漏洞的利用工具

    xShock:一款针对Shellshock漏洞的利用工具

    xShock:一款针对Shellshock漏洞的利用工具xShock是一款针对Shellshock漏洞的利用工具,该工具由Hulya Karabag开发,当前版本号为v1.0.0。在xShock的帮助下,广大安全研究人员可以轻松对ShellShock漏洞(CVE-2014-6271)进行漏洞利用测试。 关于工具 该工具创建的所有目...

    阅读全文 作者:血梦 日期:2020-05-03 分类: 神兵利器

关灯