1.使用bing搜索site:tw inurl:php(site指定区域,inurl:url链接包含的内容)
原地址:https://github.com/Leeon123/CC-attack
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了一种新型无文件APT攻击Kraken,它会利用Windows错误报告服务逃避检测。这篇文章将介绍Turla新型水坑攻击后门(NetFlash和PyFlash),研究人员发现Turla对Armenian的知名网站发起水坑攻击,通过伪造Adobe Flash更新,欺骗受害者下载两个新型恶意软件NetFlash和PyFlash,从而实现恶意攻击,整个攻击的TTP基本没有变化 ,但Turla首次使用了Python后门程序。
今天,我逛GitHub时发现,排行榜上大量的出现了DDoS相关的项目,其中还不乏直接针对俄罗斯的。
我们生活在数据的黄金时代。有些公司将其分析为更好的自己,有些公司为了获利而进行交易,没有一家公司因其价值而自由放弃 - 对于他们的业务和犯罪分子。
ATT&CK视角下的红蓝对抗:四. 内网穿透之通过Earthworm(EW)进行隧道穿透
当网站使用不安全的SQL查询方式时,黑客可以通过注入恶意SQL语句来获取网站的敏感信息或者控制网站的数据库。为了防止SQL注入攻击,以下是一些防御措施:
Google Dorking是一种攻击技术,它使用了Google搜索引擎来搜索目标网站配置以及计算机代码中存在的安全漏洞。
MHDDoS是一款功能强大的DDoS服务器/站点安全测试工具,该工具包含56种技术,可以帮助广大研究人员对自己的服务器或网站执行DDoS安全测试。
前言: 在一次TED演讲上有个人演示了一个和419骗子交互的游戏——当你回复垃圾邮件后会发生什么,于是我也有了和黑客打游击战的想法。 于是2月10日我将所有关于CryptoWall的信息都公布在一个网
转载于 拼客学院陈鑫杰 拼客院长陈鑫杰 (若有侵权,请联系邮件751493745@qq.com,我会及时删除)
对于 Python 开发者来说,web 开发框架真可谓玲琅满目。然而 Django , 毋庸置疑的成为最受青睐的 web 框架。通过本篇博客,我来为大家讲解下为什么相比 Flask、Pyramid、Tornado、Bottle、Diesel、Pecan、Falcon 这些流行的 Python web 框架,Python 开发者更倾向于选择 Django。
参数一是并发数请求的用户量 参数二是发送总量请求的总次数 &有兴趣的可以在百度上另外学习 参数参数2和网站地址由自己设置这里以 10001000http://bjvcrrn.nat.ipyingshe.com/bbs/ 为例 出现如下界面表示攻击成功
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
调查数据表明,目前的GitHub代码库中,有超过20%的网络攻击工具或PoC代码都是采用Python编写的。
这是作者2月27日学习i春秋YOU老师直播分享的渗透技术知识,本次分享的主题是《小白的渗透技术成长之路》。主讲人YOU老师,干货满满,全面剖析了渗透测试的工作、知识体系、学习路径。确实让我受益匪浅,非常感谢老师,也推荐大家去i春秋学习相关的视频。
大家回想一下,你是不是遇到过这种情况:有时候,你访问一个网站,它突然给你下载了一个东西。特别是当你用 Chrome 的时候,浏览器直接就自动给你下载到“下载”文件夹里面去了,如下图所示:
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
最近在信安群里也有人问过我,我是如何基于kali学习渗透测试的,在这里总结针对于有一些网络基础的路线[1],让新手和小白们不再迷茫,少走弯路,拒绝时间和金钱上的浪费!
企业可能有多个、几十个甚至很多的子域名应用,因为子域名数量多,企业在人员和防护的投入可能会没有主站及时。攻击者在主域名找不到突破口时,就可以进行子域名的信息收集,然后通过子域名的漏洞进行迂回。
最近有一篇热文《乌克兰国防军队的系统账号和密码分别是 admin 和 123456!》提到乌克兰武装部队的“第聂伯罗”军事自动化控制系统,服务器网络保护十分原始,用户名和密码是“admin 123456”。这是一篇“观察者网”的报道,并非小道消息,但这是2018年的旧闻了。至于现在密码改了没有,咱也不知道,咱也不敢问。
连载介绍信息:http://zone.wooyun.org/content/23138
信息收集对于渗透测试可以说是重中之重,正所谓“知己知彼,百战不殆”。所以我们的信息收集也是一样,收集的信息越多越好。对于目标的信息收集,主要针对目标的服务器系统、数据库系统、中间件系统、应用程序系统、以及边界设备等信息。以及收集针对于系统管理员的信息收集。
今天千锋扣丁学堂Python培训老师给大家分享一篇关于初学者学习Python中的10个安全漏洞以及如何修复漏洞的方法。比如在写代码的过程中,我们的总会遇见各式各样的大坑小坑。Python也不例外,在使用模块或框架时,也存在着许多糟糕的实例。然而,许多Python开发人员却根本不知道这些。
为了鼓励人们参与到针对ISIS的网络战中来,国际黑客组织匿名者公布了三个黑客攻击操作指南。这三个指南主要针对的对象是隶属于ISIS的网站。 黑客与恐怖份子之间的战争在巴黎恐怖袭击事件之后迅速升温。在短短的两天内,匿名者黑客组织对ISIS宣战。而 ISIS则迅速进行报复,并发言称匿名者组织是只知道如何’入侵邮箱和推特账户’的’笨蛋’。 另外一方面,目前匿名者公布了一系列的攻击操作指南,劝说人们参与到#OpParis这个行动中来。操作指南包括了曝光及攻击隶属于ISIS网站以及其他的媒体账号的方法。 其实匿名
根据安全研究人员的最新报道,现在出现了一个名为“Black Kingdom”的新型勒索软件,而这款勒索软件主要通过利用Microsoft Exchange服务器的ProxyLogon漏洞来对服务器数据进行加密,并实现勒索攻击。
0×00 vps 当我们在插入的xss,在客户端成功执行了相关的操作后,需要将获取的内容传递出来,可以选择购买VPS或者免费的dnslog平台通过get请求来接受数据。 在vps端有很多接
在信息安全中渗透测试方向,OWASP Top10是渗透测试人员必须要深入了解和学习的,今天我们来深入了解和学习下OWASP发布的以往最重要的两个版本,研究下我们IT行业从业人员最容易引入的漏洞,后续文章将更新具体的漏洞原因,场景,防护手段,提升我们的应用抗风险能力。应用程序安全风险。 攻击者可以通过应用程序中许多的不同的路径方式去危害企业业务。每种路径方式都代表了一种风险,这些风险都值得关注。
CVE-2014-0160漏洞背景 2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160),此次漏洞问题存在于ssl/dl_both.c文件中。OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。 OpenSSL受影响和不受影响版本
编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库中,也存在着许多糟糕的实例。然而,许多 Python 开发人员却根本不知道这些。
关于CTFR CTFR是一款功能强大的子域名枚举与爆破工具,在该工具的帮助下,广大研究人员可以轻松在几秒钟时间里获取一个HTTPS网站的所有子域名。值得一提的是,CTFR即没有使用到字典攻击技术,也没有使用暴力破解工具,该工具使用的是证书透明度日志来实现其功能。 关于证书透明度 谷歌的证书透明度项目修复了SSL证书系统中的几个结构缺陷,SSL证书系统是所有HTTPS连接的主要加密系统。这些缺陷削弱了加密互联网连接的可靠性和有效性,并可能危及关键的TLS/SSL机制,包括域验证、端到端加密和证
*本文作者:feiniao,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
微信扫描二维码登录网站,相信很多网站登录中都有这个功能。但是这个功能使用不当,将会出现劫持漏洞。话不多说,直接分享三个实战挖掘的案例,三个的实现方式都不一样(已脱敏).
日前,360 核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用 0day 漏洞的 APT 攻击,捕获到了全球首例利用浏览器 0day 漏洞的新型 Office 文档攻击,我们将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的 IE 浏览器及使用了 IE 内核的应用程序。用户在浏览网页或打开 Office 文档时都可能中招,最终被黑客植入后门木马完全控制电脑。
顾翔老师开发的bugreport2script开源了,希望大家多提建议。文件在https://github.com/xianggu625/bug2testscript,
Karkinos Karkinos是一款针对CTF和渗透测试的瑞士军dao,支持反向Shell处理、数据编码/解码、数据加密/解密以及哈希破解等操作。该工具可以帮助广大研究人员让渗透测试或CTF的效率变得更高,此工具应仅用于您有权攻击的应用程序。任何误用或损坏均由用户自行负责。 Karkinos是一个轻量级的网络安全“瑞士军dao”,专为渗透测试和CTF设计,当前版本的Karkinos支持以下功能: 编码/解码字符 加密/解密文本或文件 反向Shell处理 破解和生成哈希 依赖组件 任何支持托管PHP网站的
前言 在面对xss漏洞的时候,笔者通常会简单的找个xss平台,插入一段平台的xss代码,盗取个cookie,就自以为是的认为自己掌握了xss漏洞。这篇文章旨在抛开xss漏洞平台,从简单利用源代码的角度,分享一下如何利用xss获取用户的cookie信息。在实际渗透中,笔者通过自己写利用代码的方式,先后运用xss实现了挖矿、简单的DDOS攻击测试、获取cookie、内网端口、截屏等。 声明:本文仅涉及技术讨论,请勿用于任何非法用途! 0x00 vps 当我们在插入的xss,在客户端成功执行了相关的操作后,需要将
首先说下被很多老鸟或小白混要的一些说法,web防火墙和waf防火墙不属于一个东西.真的,看我解释.
WordPress是一个著名的开源内容管理系统(CMS),用于创建网站和个人博客,据估计,目前35%的网站都在使用CMS。
SQL 注入攻击(SQL Injection),简称注入攻击、SQL 注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的 SQL 指令的检查,被数据库误认为是正常的 SQL 指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。
2. 设置账号登陆时长,账号访问过多封禁 设置账号的登录限制,只有登录才能展现内容 设置账号登录的时长,时间一到则自动退出
众所周知,网站如果没有安全防护,极易遭受恶意攻击,导致运行受阻甚至瘫痪。为保障网站的安全稳定运行,必须采取诸如CDN加速与DDoS防护等措施,为用户提供安全、可靠的服务。
提示:本文章内所有内容环境为自己搭建绝无违法内容,请不要利用其中的技术来做违法的事情。若本文显示图片违规,请点击链接https://mp.weixin.qq.com/s/ZnrPjDJ2Wh1pqKEKCVaG-w跳转至微信公众号阅读
昨天给大家普及到了渗透测试中执行命令漏洞的检测方法,今天抽出时间由我们Sine安全的渗透工程师来讲下遇到文件包含漏洞以及模板注入漏洞的检测方法和防御手段,本文仅参考给有授权渗透测试的正规安全检测的客户,让更多的客户了解到具体测试的内容,是如何进行全面的网站安全测试。
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。SSRF是笔者比较喜欢的一个漏洞,因为它见证了攻防两端的对抗过程。本篇文章详细介绍了SSRF的原理,在不同语言中的危害及利用方式,常见的绕过手段,新的攻击手法以及修复方案。
近年来数据泄露安全事件频发,在今年的hw网络安全攻防演练中,获取敏感信息、数据泄露等漏洞的得分也越来越高,我们SINE安全近十年来成功的帮助了许多客户,查找到了数据泄露的原因,在这里向大家分享我们的经验与心得,包括数据泄露的排查办法以及修复。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
