欢迎来到【血梦博客】 今天是:2020年10月29日 星期四
站长联系QQ:635948183

  • 当黑客入侵咖啡机,可以做什么?

    当黑客入侵咖啡机,可以做什么?

    当黑客入侵咖啡机,可以做什么?当你使用Smarter的物联网咖啡机,那么,问题来了。 2015年,Smarter产品首次暴露安全问题,研究人员发现他们可以恢复第一代Smarter iKettle咖啡机中使用的Wi-Fi加密密钥。 随后,再次发现第2代iKettle和当时更智能的咖啡机的版本还存在其他问题,...

    阅读全文 作者:血梦 日期:2020-10-01 分类: 界内新闻

  • ThinkPHP漏洞分析与利用

    ThinkPHP漏洞分析与利用

    ThinkPHP漏洞分析与利用一、组件介绍 1.1 基本信息 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,遵循Apache 2开源协议发布,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。 ...

    阅读全文 作者:血梦 日期:2020-10-01 分类: 代码审计

  • 红蓝对抗中的近源渗透

    红蓝对抗中的近源渗透

    红蓝对抗中的近源渗透前言 近源渗透是这两年常被安全业内人员谈起的热门话题。不同于其他虚无缥缈的安全概念,近源渗透涉及到的无线安全、物理安全、社会工程学都十分容易落地实践,许多企业内部的攻防对抗演练也都出现了看上去“很过分”的近源渗透攻击手法,给防守方团队上了生动的一课。 19年的时候,笔者和朋友...

    阅读全文 作者:血梦 日期:2020-09-23 分类: 渗透测试

  • 关于Cobalt Strike检测方法与去特征的思考

    关于Cobalt Strike检测方法与去特征的思考

    关于Cobalt Strike检测方法与去特征的思考人云亦云 关于检测Cobalt Strike的方法有很多,而网上有一些文章会告诉大家如何修改所谓的特征值,但是这些方法实际上存在一定的误导和盲区 一般发现Cobalt Strike服务器的途径有以下几种(简单分类,不准确,勿喷) 样本分析 ...

    阅读全文 作者:血梦 日期:2020-08-18 分类: 渗透测试

  • 2020年漏洞扫描工具Top10

    2020年漏洞扫描工具Top10

    2020年漏洞扫描工具Top10在本文中,我们将介绍市场上可用的十大最佳漏洞扫描工具。 OpenVAS Tripwire IP360 Nessus Comodo HackerProof Nexpose community ...

    阅读全文 作者:血梦 日期:2020-08-05 分类: 神兵利器

  • 永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器

    永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器

    永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器一、背景 腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种,此次变种利用Python打包EXE可执行文件进行攻击,该组织曾在2018年底使用过类似手法。腾讯安全大数据监测数据显示,永恒之蓝下载器最新变种出现之后便迅速传播,目前已感染约1.5万台服务器,中毒系统最终用于下载运行门...

    阅读全文 作者:血梦 日期:2020-07-15 分类: 界内新闻

  • 黑客侵入第三方支付平台盗窃上亿元;印度禁止军人使用89种App

    黑客侵入第三方支付平台盗窃上亿元;印度禁止军人使用89种App

    黑客侵入第三方支付平台盗窃上亿元;印度禁止军人使用89种App全球动态 1. 印度禁止军人使用89种App 印度军方通知军人从其手机上删除89种App,除了之前被印度政府禁止的59种中国 App 外,还包括了美国的社交服务如Facebook、Truecaller 和Instagram,约会应用如Tinder,以及流行的手游如绝地求生和所...

    阅读全文 作者:血梦 日期:2020-07-14 分类: 界内新闻

  • 【黑客技术】WebShell隐藏过人技巧

    【黑客技术】WebShell隐藏过人技巧

    【黑客技术】WebShell隐藏过人技巧一个经典的过人WebShell 大概是在去年,闲着无聊的时候翻阅知乎,看到了这么一个回答:https://www.zhihu.com/question/68591788/answer/269545371 其中最后那个过人的 webshell 引起了我的注意:...

    阅读全文 作者:血梦 日期:2020-07-13 分类: 渗透测试

  • 谈谈我眼中的黑灰产威胁情报

    谈谈我眼中的黑灰产威胁情报

    谈谈我眼中的黑灰产威胁情报最近比较闲,就开始回头看看。 17年在某个大厂开始从安全技术转型从事黑灰产威胁情报这方面研究,从事黑灰产威胁情报挖掘也已经有三年多了。也认识了很多同行,有甲方也有乙方,但是每一家都是在摸爬滚打中前进,各有各的优势与看法。最近几天跟很多朋友聊,各家都想建立威胁情报,又都没经验,刚好我也就整...

    阅读全文 作者:血梦 日期:2020-07-13 分类: 渗透测试

  • SeaCMS v10.1代码审计实战

    SeaCMS v10.1代码审计实战

    SeaCMS v10.1代码审计实战前言 seacms是一个代码审计入门级的cms,比较适合我这种小白玩家来学习,如果有什么错误欢迎指出。 环境 phpstudy pro php5.4.45nts seay代码审计工具 phpstrom...

    阅读全文 作者:血梦 日期:2020-07-12 分类: 代码审计

  • 红队之外网定向打点

    红队之外网定向打点

    红队之外网定向打点0x00 什么是红队 红队,一般是指网络实战攻防演习中的攻击一方。 红队一般会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击;通过实现系统提权、控制业务、获取数据等目标,来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。 ...

    阅读全文 作者:血梦 日期:2020-07-07 分类: 渗透测试

  • NBA巨星詹姆斯遭黑客威胁,公开所有秘密?

    NBA巨星詹姆斯遭黑客威胁,公开所有秘密?

    NBA巨星詹姆斯遭黑客威胁,公开所有秘密?今年明星们因疫情原因在家隔离,只能通过网络来保持联系、处理事务。体育赛事也是,相信在NBA历史上如此漫长的停赛期也是前所未有的。 好在19-20赛季的NBA比赛将在7月底正式重启,而以詹姆斯为首的NBA球星们,也已经在为复赛做准备了。 本来NBA重启之事已成定局,老詹可以松一...

    阅读全文 作者:血梦 日期:2020-07-01 分类: 界内新闻

  • 记一次授权网络攻防演练全集

    记一次授权网络攻防演练全集

    记一次授权网络攻防演练全集完整攻击链大概包括信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移动、痕迹清除等七步,虽然这个站点只经历了前四步,但也具有较强的代表性,组合利用漏洞形成攻击链,拿下管理权限。 事情缘起 杜兄弟在某旅游集团公司任职 IT 技术主管,有两家驻场安全厂商为其提供安全服务,一...

    阅读全文 作者:血梦 日期:2020-06-30 分类: 渗透测试

  • 渗透利器burp suite v2020.5.1 crack版本下载

    渗透利器burp suite v2020.5.1 crack版本下载

    渗透利器burp suite v2020.5.1 crack版本下载Burp Suite Professional 2020是一款新推出的全新版本渗透测试工具软件,它主要是用于测试网络的安全性,操作简单,使用也很方便,帮助用户快速、有效的进行网络安全测试。在当今这个时代网络安全非常重要,当你的网络处于不安全状态时,容易中木马病毒和受到黑客攻击,这对你来说是非常不利的...

    阅读全文 作者:血梦 日期:2020-06-30 分类: 神兵利器

  • 16个合法练习黑客技术的网站

    16个合法练习黑客技术的网站

    16个合法练习黑客技术的网站PS:练习利用这些网站,就会打破kali学的好,监狱进的早的魔咒了 进攻即是最好的防御,这句话同样适用于信息安全的世界。这里罗列了16个合法的来练习黑客技术的网站,不管你是一名开发人员、安全工程师、代码审计师、渗透 测试人员,通过不断的练习才能让你成...

    阅读全文 作者:血梦 日期:2020-06-29 分类: 渗透测试

  • 社会工程学攻击的三个典例

    社会工程学攻击的三个典例

    社会工程学攻击的三个典例Chris Hadnagy是靠”骗人”来领薪水的;这么多年来,他练就了一套炉火纯青的骗人功夫。Hadnagy是社会工程学攻击网站social-engineering.org的创办人之一,并且著有《社会工程学:人力黑客艺术》一书,十多年来他一直在使用操纵策略,向客户表明犯罪分子在如何窃取信息。 ...

    阅读全文 作者:血梦 日期:2020-06-28 分类: 社会工程学

  • 常见的社会工程学攻击方式

    常见的社会工程学攻击方式

    常见的社会工程学攻击方式1.2常见的社会工程学攻击方式 随着网络安全防护技术及安全防护产品应用的日益成熟,很多常规的入侵手段越来越难以奏效。在这种情况下,更多的攻击者将攻击方式转向了社会工程学攻击,同时利用社会工程学的攻击手段也日趋成熟,技术含量也越来越高。攻击者在实施社会工程学攻击之前必须掌握一定的心理学、人...

    阅读全文 作者:血梦 日期:2020-06-28 分类: 社会工程学

  • PHP Web安全开发实战.pdf 带书签版

    PHP Web安全开发实战.pdf 带书签版

    PHP Web安全开发实战.pdf 带书签版内容简介 本书结合在安全方面的开发经验,站在开发者的角度,循序渐进地介绍了大量实际发生的漏洞案例,并给出了技术解决方案,包括:常见的网络攻击、代码安全、前端脚本安全、后端应用安全、账户安全、加解密认证、SQL注入以及服务器配置等内容。通过阅读本书,读者能够对整个网络安全有一...

    阅读全文 作者:血梦 日期:2020-06-28 分类: 电子书下载

  • Metasploit渗透测试魔鬼训练营.pdf-完整版

    Metasploit渗透测试魔鬼训练营.pdf-完整版

    Metasploit渗透测试魔鬼训练营.pdf-完整版内容简介 《Metasploit渗透测试魔鬼训练营》是Metasploit渗透测试领域难得的经典佳作,由国内信息安全领域的资深Metasploit渗透测试专家领衔撰写。内容系统、广泛、有深度,不仅详细讲解了Metasploit渗透测试的技术、流程、方法和技...

    阅读全文 作者:血梦 日期:2020-06-28 分类: 电子书下载

  • 白帽子讲Web安全.pdf

    白帽子讲Web安全.pdf

    白帽子讲Web安全.pdf内容简介 互联网时代的数据安全与个人隐私受到挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全(纪念版)》将带你走进Web安全的世界,让你了解Web安全的方方面面。黑客不再神秘,攻击技术原来如此,小网站也能找到适合自己的安全道路。...

    阅读全文 作者:血梦 日期:2020-06-28 分类: 电子书下载

  • 《Web前端黑客技术揭秘》.pdf下载 带书签版

    《Web前端黑客技术揭秘》.pdf下载 带书签版

    《Web前端黑客技术揭秘》.pdf下载 带书签版《Web前端黑客技术揭秘》编著者钟晨鸣、徐少培。 Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含 Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三 大类,涉及的知识点涵盖信任与信任关系、Cookie安全、FlaSh安全、DOM 渲染、字符集、跨域、原...

    阅读全文 作者:血梦 日期:2020-06-28 分类: 电子书下载

  • 渗透测试指南(一)前期交互

    渗透测试指南(一)前期交互

    渗透测试指南(一)前期交互2020年初,我通过了准备已久的Pentest+认证考试。我还写了一篇 考试指南,有兴趣的读者可以点击查看。 近期我打算花一点时间把Pentest+知识体系整理成一系列文章,巩固一下我对渗透测试的理解以及加深我对渗透测试的看法。 这一系列文章的大体内容纲要如下 第...

    阅读全文 作者:血梦 日期:2020-06-23 分类: 渗透测试

  • 利用WAF进行拒绝服务攻击

    利用WAF进行拒绝服务攻击

    利用WAF进行拒绝服务攻击一、拒绝服务攻击 拒绝服务攻击,英文名称是Denial of Service. 简称DOS,即拒绝服务,造成其攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。 最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以...

    阅读全文 作者:血梦 日期:2020-06-19 分类: 渗透测试

  • 主机安全:洋葱Webshell检测实践与思考

    主机安全:洋葱Webshell检测实践与思考

    主机安全:洋葱Webshell检测实践与思考前言 Webshell是网站入侵的常用后门,利用Webshell可以在Web服务器上执行系统命令、窃取数据等恶意操作,危害极大。Webshell因其隐秘性、基于脚本、灵活便捷、功能强大等特点,广受黑客们的喜爱,因此Webshell的检测也成为企业安全防御的重点,Webshell检测已...

    阅读全文 作者:血梦 日期:2020-06-03 分类: 代码审计

  • 窥探裸聊诈骗背后黑色产业链的一角

    窥探裸聊诈骗背后黑色产业链的一角

    窥探裸聊诈骗背后黑色产业链的一角概述 近日,奇安信病毒响应中心在日常黑产挖掘过程中发现有人以裸聊的形式在社交网络上传播某种视频直播软件,该软件在提供正常直播内容的同时还会在暗地里收集用户数据,而受害者往往控制不住自己的欲望,导致个人信息被泄露,严重的甚至被敲诈钱财。 该APK样本经过加固,输入手机号和正...

    阅读全文 作者:血梦 日期:2020-05-24 分类: 界内新闻

1 2 3 ››

关灯