FreeBuf

3235 篇文章
172 人订阅

全部文章

FB客服

一文看懂认证安全问题总结篇

研究认证相关的安全问题也有一段实践了,今天就对认证相关的安全问题做个总结。其中涉及到一些前置概念这里无法一一讲解,可以在相关RFC文档或者链接中深入阅读,笔者已...

792
FB客服

Flashmingo:SWF文件自动化分析工具

flashmingo是FireEye最新发布的一个用于自动分析SWF文件的框架。它可以自动对可疑的Flash文件进行分类,并进一步的指导分析过程。Flashmi...

641
FB客服

因广告欺诈及滥用权限,百度子公司数十款应用被Google Play封杀

本月中旬,外媒BuzzFeed News报道称Google Play商店中部分热门应用存在广告欺诈及滥用权限的问题,其中有六款属于百度子公司Do Global。...

1173
FB客服

从攻击者角度重新思索inotity API的利用方式

我们以往在看”inotify API”的使用的时候,关注点都放在防护端,比如在入侵事件发生后IT管理员用来监控文件或者目录的改变来辅助排查入侵事件。本文我们将重...

722
FB客服

号称“十分在意用户隐私”的恶意软件罗宾汉是个啥?

最近,一种新的恶意软件出现在了网络上,并且在全世界范围内广泛传播。该软件会自动加密它们访问到的计算机,随后会向用户索要一定数量的比特币作为赎金。

662
FB客服

Dirmap:一款高级Web目录文件扫描工具

本人是一名立志安全开发的大学生,有一年安全测试经验,有时在刷src的时候,需要检查所有target的web业务系统是否泄露敏感目录、文件,工作量十分庞大,于是D...

1313
FB客服

作案7年之久的“盗号天团”浮出水面,新型赌博黑产攻击肆虐网吧

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,Bilibili后台源码“被开源”,GitHub公开其DMCA删除通知;作案7年之久的盗号天团”浮出水面,小...

692
FB客服

HTTP Leak实现任意账户劫持的漏洞解析

本文分享的是,作者在参与某次漏洞邀请测试项目中,发现目标应用服务的密码重置请求存在HTML注入漏洞(HTML injection),通过进一步的HTTP Lea...

1112
FB客服

凛冬将至渔夫出动,《权游》的钓鱼与避坑

虽然即将夏日炎炎,但《权力的游戏》第八季的到来却能够让各位权游铁粉感受到“凛冬终至”的气息!目前,权游第八季的第二集已经播出,可能很多权游粉丝想的是“养肥了再杀...

922
FB客服

能够用于劫持Youtube用户通知消息的CSRF漏洞探究

大家好,今天分享的writeup是关于YouTube通知服务(Notification)的CSRF漏洞,作者利用该漏洞可以劫持其他YouTube用户(受害者)的...

762
FB客服

Mad-Metasploit:Metasploit自定义模块、插件&脚本套件

Mad-Metasploit是一款针对Metasploit的多功能框架,该框架提供了多种自定义模块、插件和资源脚本。

972
FB客服

贼心不死,海莲花APT组织一季度攻击活动揭秘

“海莲花”(又名APT32、OceanLotus),被认为是来自越南的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中...

912
FB客服

与Yahoo和Paypal相关的两个独特漏洞($5k+$3.2k)

本文分享的是与Yahoo和Paypal相关的两个独特漏洞,一个为Yahoo的IDOR漏洞(不安全的直接对象引用),另一个为Paypal的DoS漏洞,两个漏洞的发...

892
FB客服

从源码层面看一款精致的病毒软件应具备哪些特质

说起来也比较久了,故事起源于去年11月份,我在公司办公环境搭建了一个dvwa的靶场环境,用于web漏洞的测试,不经意的发现access log日志增长迅速,查看...

743
FB客服

重磅 | FreeBuf《2019企业安全威胁统一应对指南》即将发布

近一年,网络安全相关的政策法律陆续出台落实、技术投入应用、网络安全事件频发,带动网络安全行业进一步发展变化。传统威胁依旧存在,新的威胁与风险层出不穷,给企业安全...

872
FB客服

数据治理与安全运营 | 企业安全俱乐部「上海站」看点回顾

最近周围的人都很兴奋焦躁,还经常对着日历念念有词,空气中充斥着一股高考倒计时的紧迫感,显然,这是因为2019年4月24日,《复仇者联盟4:终局之战》「FreeB...

873
FB客服

因Edge文件权限与IE发生冲突可导致XXE攻击

安全研究员John Page在3月27日向发现了微软的一个XXE漏洞并向其报告了具体情况,随后于4月10日发布了漏洞详情。目前,虽然微软还未修复该漏洞,但已发布...

783
FB客服

三种对CORS错误配置的利用方法

同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应...

1062
FB客服

纯技术上来说,《看门狗》里的各种骇客技术有可能实现吗?

最近轰动全球的新闻应该就是巴黎圣母院的大火了。一场大火让全世界人民都在为之叹息,这座已经存在了800年的绝美建筑将暂时消失在人们面前。

1114
FB客服

如何使用Arjun v1.3挖掘HTTP参数

今天给大家介绍的是一款名叫Arjun的开源工具,广大研究人员可以利用该工具来对HTTP参数进行提取和分析。

902

扫码关注云+社区