FreeBuf

3458 篇文章
193 人订阅

JSON

FB客服

前端加密之使用Firefox来解密

随着等保2.0的实施,传输过程中加密变的必要了,很多APP或者手机浏览器端逐步加密了一些加密的措施来解决这个问题,比如以下这样的数据包。

834
FB客服

浅谈跨域威胁与安全

WEB前端中最常见的两种安全风险,XSS与CSRF,XSS,即跨站脚本攻击、CSRF即跨站请求伪造,两者属于跨域安全攻击,对于常见的XSS以及CSRF在此不多谈...

792
FB客服

企业安全体系架构分析:开发架构之开源WAF延申

在前几期过多的介绍体系化方面的事情,让大家有个基本的概念,能将一些安全设备、安全理念相关联起来,这一期准备给干货——开源WAF的搭建。

772
FB客服

敏感信息泄露+IDOR+密码确认绕过=账户劫持

目标网站是一个工作招聘门户网站,测试保密原因暂且称其为redacted.com。一开始,我登录以应聘者身份去测试CSRF或某些存储型XSS,但没什么发现。接下来...

664
FB客服

挖洞经验 | Panda反病毒软件本地提权漏洞分析

在这篇文章中,我将跟大家讨论一个我在Panda反病毒产品中发现的一个安全漏洞(CVE-2019-12042),这是一个本地提权漏洞,该漏洞将允许攻击者在目标设备...

772
FB客服

谈谈Json格式下的CSRF攻击

csrf漏洞的成因就是网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要是访问这个网站,都会默认你已经登录的状态。而在这个期间,攻击...

1223
FB客服

Machinae v1.4.8:一款实用的信息收集自动化工具

Machinae这款开源工具可以帮助广大研究人员从各个开放网站/feed收集跟网络安全有关的数据,例如IP地址、域名、URL、电子邮件地址、文件哈希和SSL指纹...

1452
FB客服

Machinae:一款信息收集自动化工具

Machinae这款开源工具可以帮助广大研究人员从各个开放网站/feed收集跟网络安全有关的数据,例如IP地址、域名、URL、电子邮件地址、文件哈希和SSL指纹...

895
FB客服

Fracker:PHP函数调用追踪与分析工具

Fracker是一套PHP函数调用追踪与分析的工具,其目标是在PHP应用程序的手动安全评估期间协助安全研究人员。

942
FB客服

如何使用Arjun v1.3挖掘HTTP参数

今天给大家介绍的是一款名叫Arjun的开源工具,广大研究人员可以利用该工具来对HTTP参数进行提取和分析。

932
FB客服

如何利用postMessage窃取编辑用户的Cookie信息

某天,当我在做某个项目的漏洞测试时,在登录的一些HTTP请求记录中,我发现了一种利用postMessage方式窃取和编辑用户Cookie的方法。由于该测试是邀请...

1014
FB客服

rtfraptor:从恶意RTF文件中提取OLEv1对象的工具

rtfraptor是一个简单的工具,通过提取OLEv1对象分析恶意RTF文件。它的工作原理是运行Word并拦截对OLEv1函数的调用。从内存中转储原始OLE对象...

1481
FB客服

小白都能看懂的JSON反序列化远程命令执行

前言 Fastjson是一个由阿里巴巴维护的一个json库。它采用一种“假定有序快速匹配”的算法,是号称Java中最快的json库。Fastjson接口简单易...

5034

扫码关注云+社区

领取腾讯云代金券