首页
学习
活动
专区
工具
TVP
发布

FreeBuf

专栏作者
8086
文章
9121096
阅读量
349
订阅数
如何使用HTMLSmuggler测试你的Web应用能否抵御HTML Smuggling攻击
HTMLSmuggler是一款功能强大的HTML Smuggling攻击测试工具,该工具可以通过HTML Smuggling技术来测试你的Web应用程序是否足够安全。该工具基于JavaScript开发,它所生成的JavaScript Payload可以实现IDS绕过,并通过HTML Smuggling技术向目标站点发送测试Payload。
FB客服
2023-11-11
1090
如何使用Otseca搜索和转储系统配置并生成HTML报告
Otseca是一款功能强大的开源工具,在该工具的帮助下,广大研究人员可以搜索并转储目标系统中的配置信息,并自动生成HTML格式的报告。
FB客服
2023-10-17
1310
HTML 附件的钓鱼邮件出现激增
网络钓鱼是非常常见的攻击行为,攻击者经常利用其来窃取登录凭据与信用卡信息。HTML 附件也是此类攻击中最常见的附件之一,因为此类附件通常被认为比其他文件类型来说更没那么可疑。
FB客服
2023-08-08
1520
shimit:一款针对Golden SAML攻击的安全研究工具
 关于shimit  shimit是一款针对Golden SAML攻击的安全研究工具,该工具基于Python开发,可以帮助广大研究人员通过对目标执行Golden SAML攻击,来更好地学习和理解Golden SAML攻击,并保证目标应用的安全。 在Golden SAML攻击中,攻击者可以使用他们想要的任何权限访问应用程序(支持SAML身份验证的任何应用程序),并且可以是目标应用程序上的任何用户。 而shimit允许用户创建一个已签名的SAMLResponse对象,并使用它在服务提供商中打开会话。shimit
FB客服
2023-02-24
7390
危险!全球未打补丁的VMware ESXi 服务器被勒索组织盯上了
据BleepingComputer 2月3日消息,法国计算机紧急响应小组(CERT-FR) 近日发出警告,攻击者正通过一个远程代码执行漏洞,对全球多地未打补丁的 VMware ESXi 服务器部署新型ESXiArgs 勒索软件。 据悉,该漏洞编号为CVE-2021-21974,由 OpenSLP 服务中的堆溢出问题引起,未经身份验证的攻击者可以此进行低复杂度攻击。该漏洞主要影响6.x 版和 6.7 版本之前的 ESXi 管理程序,2021年2月23日 ,VMware曾发布补丁修复了该漏洞。对于还未打补丁的
FB客服
2023-02-24
7250
PowerHuntShares:一款针对活动目录域安全的分析与审计工具
PowerHuntShares是一款针对活动目录域安全的分析与审计工具,该工具本质上是一个PowerShell脚本,可以帮助广大研究人员清点、分析和报告加入到活动目录域中计算机上SMB共享上配置的过度权限。在该工具的帮助下,IAM和其他红队研究人员可以更好地了解SMB共享相关的攻击面,并提供相关的安全数据见解,以帮助企业和各大组织以更加安全的方式管理大规模分组共享。
FB客服
2023-02-10
1.1K0
丰收之年?去年 GDPR 处罚金额激增至 31 亿美元
2022年违反欧洲通用数据保护条例( GDPR)的事件猛增,据律师事务所 DLA Piper 分析发现,罚款金额达到了约 31 亿美元,是 2021 年开出的罚款金额的两倍多。
FB客服
2023-02-10
6750
又吃巨额罚单!Meta因违反欧盟数据隐私规定被罚 3.9 亿欧元
据BleepingComputer消息,当地时间1月4日,爱尔兰数据保护委员会 (DPC) 以Meta强迫 Facebook 和 Instagram 用户接受定向投放的个性化广告,违反欧盟《通用数据保护条例》为由,向Meta开出3.9亿欧元巨额罚单。
FB客服
2023-02-10
2330
FreeBuf 周报 | 2亿推特用户数据被公开;去哪儿又利用大数据杀熟?
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
FB客服
2023-02-10
5760
剑桥分析丑闻最新进展,Mate花7.25亿美元进行和解
近日,Facebook、Instagram 和 WhatsApp 的母公司 Meta Platform 已同意支付 7.25 亿美元来解决 2018 年提起的长期集体诉讼。这场法律纠纷是因为这家社交媒体巨头允许第三方应用程序(例如Cambridge Analytica使用的应用程序)在未经用户同意的情况下访问用户的个人信息以进行政治广告。
FB客服
2023-02-10
2770
美国国会通过法案禁止政府设备安装 TikTok
当地时间12月23日,美国国会通过了支出法案,其中包含禁止在政府设备上安装TikTok。
FB客服
2023-02-10
1900
Meta关闭俄罗斯一个大规模的虚假新闻网络
Bleeping Computer 网站披露,Meta 近期捣毁一个由 Facebook 和 Instagram 账户组成的庞大俄罗斯网络,该网络用于在欧洲各地 60 多个冒充新闻机构的网站上发布虚假信息。
FB客服
2022-11-14
4000
WSH:一款功能强大的Web Shell生成器和命令行接口工具
WSH是一款功能强大的Web Shell生成器和命令行接口工具。我们考虑到只用一个HTTP客户端来跟Webshell交互其实是一件很痛苦的事,我们需要在表格中输入命令,然后再点各种按钮。因此,我们开发出了WSH,我们可以轻松将其嵌入到我们的工作流中,并在命令行终端运行。
FB客服
2022-11-14
7580
俄乌网络战新动作!“沙虫”冒充乌克兰电信部署恶意软件
Bleeping Computer 资讯网站披露,疑似俄罗斯资助的黑客组织 Sandworm(沙虫) 伪装成乌克兰电信供应商,以恶意软件攻击乌克兰实体。
FB客服
2022-11-14
4390
大事件!乌方:网络攻击已瘫痪俄罗斯2400个网站
据乌克兰数字转型部消息,乌克兰IT军队在8月29日至9月11日的两周内,攻击了2400多个俄罗斯网站,其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。
FB客服
2022-11-14
3300
零日漏洞积极利用,或影响多个Microsoft Office版本
近日,网络安全研究员nao_sec发现了一个从白俄罗斯上传至分析服务网站VirusTotal的恶意Word文档(文件名为" 05-2022-0438.doc ")。这个文档使用远程模板特性获取HTML,然后使用“ms-msdt”方案执行PowerShell代码。
FB客服
2022-06-08
4410
支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金
据The Hacker News消息,昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞,可允许攻击者窃取用户账户中的资金。其攻击原理是利用点击劫持技术诱导用户进行点击,在不知不觉中完成交易,最终达到窃取资金的目的。
FB客服
2022-06-08
1.1K0
HTML附件在网络钓鱼攻击中至今仍很流行
根据2022年第一季度的调研表明,HTML文件仍然是网络钓鱼攻击中最流行的攻击手段之一,面对此类攻击手段,不管是反垃圾邮件引擎还是用户都很难辨别。HTML(超文本标记语言)是一种定义Web内容的含义和结构的语言。HTML文件是专为在 Web 浏览器中进行数字查看而设计的交互式内容文档。
FB客服
2022-06-08
6520
Spock SLAF:一款功能强大的共享代码库应用程序防火墙
Spock SLAF是一款功能强大的共享代码库应用程序防火墙,简称为“SLAF”。该项目的主要目的是为了保护那些使用了OpenSSL库的服务或应用程序免受网络威胁的侵害。SLAF可以通过插入钩子来拦截所有的通信信息,以检测异常行为,并阻止和记录入侵行为,比如说缓冲区溢出、路径遍历、XSS和SQL注入等等。因此,为了检测异常,Spock SLAF使用具有等级分数的确定性有限自动机来计算风险,并为每个上下文创建警报。
FB客服
2022-06-08
2280
因在暗网出售被盗凭据,乌克兰黑客被判四年监禁
Security Affairs 网站披露,因盗取大量服务器登录凭据,并在暗网出售, 28 岁的乌克兰人 Glib Oleksandr Ivanov-Tolpintsev 被判处 4 年监禁。
FB客服
2022-06-08
2780
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
热点技术征文第五期
新风口Sora来袭,普通人该如何把握机会?
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档