某次测试中遇到了汉字点选的验证码,看着很简单,尝试了一下发现有两种简单的识别方法,终于有空给重新整理一下,分享出来。
本文我将为大家演示,如何利用服务器端模板注入(SSTI)漏洞,来获取应用托管服务器上的shell。
卡巴斯基实验室的安全服务部门每年都会为全球的企业开展数十个网络安全评估项目。在本文中,我们提供了卡巴斯基实验室2017年开展的企业信息系统网络安全评估的总体概述...
随着凶手落网、判刑,乐清滴滴顺风车事件终于渐渐从舆论中心淡去。这次事件引发了全国范围内的广泛关注,不过让人没想到的是,在随后的一段时间里,全国多地有人被刑拘,原...
网络空间已经成为国家“无形疆域”,维护国家网络信息安全是光荣与荣耀,更是义不容辞的责任与使命。2018,谁是支撑国家网络空间信息安全的强大力量?
我司的堡垒机是基于jumpserver 0.3版本进行二次开发,进行了大量的重构和新功能的添加,基本满足了公司安全运维的需求。在对文件上传接口进行安全审计的时候...
Microsoft Office相信大家都用过。Office在文档中嵌入对象极大的方便了我们的日常使用,但同时也为我们带来了众多安全问题。可以说,Office文...
在一次漏洞赏金活动中,挖到个命令注入的洞,我先以时延作为证明向厂商提交该漏洞,厂商以国内网络环境差为由(的确得翻墙)拒收,几次沟通,告知若我能取回指定文件 se...
差分隐私(Differential Privacy)是密码学中的一种手段,旨在提供一种当从统计数据库查询时,最大化数据查询的准确性,同时最大限度减少识别其记录的...
前不久,我加入了一家印度尼西亚金融科技公司的bug赏金计划。经过一番测试,我在“忘记密码”功能中找到了一个电子邮件输入框。依据经验,我开始尝试以下输入。
本周四(9月6日),美国司法部起诉了一名朝鲜黑客,指控他近年来主导的多宗网络攻击罪行,包括攻击索尼影业、发动“WannaCry”勒索软件攻击、窃取孟加拉央行80...
最近,我在参与一些漏洞众测项目,本文中我就来分享一个我发现的Facebook某服务器漏洞,该漏洞获得Facebook官方$5000美金奖励。
Microsoft Office文档为攻击者提供了各种欺骗受害者运行任意代码的方法。当然,攻击者可能会尝试直接利用Office漏洞,但更常见的情况是向受害者发送...
Scrounger是一个模块化的移动应用程序渗透测试框架工具。它将Android和iOS这两个主流的移动操作系统同时整合到了一个框架中,极大的方便和满足了我们日...
2018 ISC 互联网安全大会在北京国家会议中心刚刚落幕。北京的蓝天白云晴空万里、会场里熙熙攘攘来自各国的演讲者和参会者,还有现场涉及网络安全大大小小领域的议...
谈到爆破,相信大部分网络安全从业者都并不陌生,爆破爆破,就是暴力破解嘛。通过枚举尝试尽可能多的可能解,再进行验证判断是否正确。在进行web的爆破时,我们通常会使...
多年以来,一直都有攻击者使用恶意宏来传播恶意软件,并且还设计出了各种方法来让这种技术变得更加有效。近期,研究人员观察到了一种更加隐蔽的基于宏的攻击活动,在这个攻...
*本文原创作者:ForrestX386,本文属FreeBuf原创奖励计划,未经许可禁止转载
360集团技术总裁、首席安全官谭晓生在致辞中说:“2018年,互联网安全大会已经进入第六届,从首届互联网安全大会首次举办开始,我们就一直坚持开放性和专业性的原则...
这段时间因为某些原因接触了Android App渗透测试,发现了几个不错的App渗透测试工具(虽然这些工具早就出来了 2333),搭建测试环境的过程中遇到了一些...
扫码关注云+社区
