FreeBuf

3207 篇文章
166 人订阅

API

FB客服

W12Scan:一款功能强大的网络安全资产扫描引擎

W12是一款功能强大的网络安全资产扫描引擎,它可以自动收集关于分析目标的相关资产信息,以供研究人员分析和使用。

661
FB客服

Kubebot:一款Google云平台下的Slackbot安全测试工具

今天给大家介绍的是一款名叫Kubebot的安全测试Slackbot,该工具基于Google 云平台搭建,并且提供了Kubernetes后端。

1183
FB客服

Uber服务端响应中的API调用缺陷导致的账户劫持

今天分享的writeup是香港白帽Ron Chan (@ngalongc)发现的一个关于Uber网站的漏洞,他通过分析Uber的微服务架构和其中的API调用机制...

771
FB客服

Flashmingo:SWF文件自动化分析工具

flashmingo是FireEye最新发布的一个用于自动分析SWF文件的框架。它可以自动对可疑的Flash文件进行分类,并进一步的指导分析过程。Flashmi...

571
FB客服

从攻击者角度重新思索inotity API的利用方式

我们以往在看”inotify API”的使用的时候,关注点都放在防护端,比如在入侵事件发生后IT管理员用来监控文件或者目录的改变来辅助排查入侵事件。本文我们将重...

702
FB客服

对印度某电子商务公司从LFI到数据库获取的渗透测试过程

本文分享的是作者在渗透测试过程中,通过不同漏洞的组合利用,最终拿下印度某大型电子商务公司数据库权限。(文章已经相关公司许可发布)。

1055
FB客服

新型Anatova恶意软件分析

近期,我们发现了一种新型的勒索软件家族-Anatova。Anatova发现于一个私人的点对点(p2p)网络中,目前我们已经确保客户得到了有效的安全保护,并打算在...

732
FB客服

窃听风云:扒掉你的最后一条“胖次”

“每个人的手机都是一部窃听器,不管你开不开机,都能被窃听。”在2009年上映的《窃听风云》中吴彦祖饰演的人物有这样一句台词,随着影片热映,“手机窃听”的问题被更...

1423
FB客服

缓冲区溢出漏洞可导致内核崩溃,苹果多款操作系统均受影响

国外大神Kevin Backhouse刚刚放出了一篇博文,对苹果操作系统内核中发现的堆缓冲区溢出漏洞(CVE-2018-4407)进行了一番解构。

1012
FB客服

你知道吗?图形验证码可能导致服务器崩溃

图片验证码是为了防止恶意破解密码、刷票、论坛灌水等才出现的,但是你有没有想过,你的图形验证码竟然可能导致服务器的崩溃?

953
FB客服

Scout2:一款针对AWS环境的安全审计工具

今天给大家介绍的是一款名叫Scout2的安全审计工具,广大安全研究人员可以用它来对AWS环境的安全性进行检测。

1001
FB客服

VOOKI:一款免费的Web应用漏洞扫描工具

Vooki是一款免费且用户界面友好的Web应用漏扫工具,它可以轻松地为你扫描任何Web应用并查找漏洞。Vooki主要包括三个部分,Web应用扫描器,Rest A...

1653
FB客服

RSA2018 | 通过iOS Trustjacking漏洞远程渗透iPhone

赛门铁克研究人员发现了一个iPhone与Mac工作站和笔记本电脑配对的漏洞。他们表示,攻击者可以利用这个被称为Trustjacking的漏洞,在没有信息情况下接...

1653
FB客服

开源软件创建SOC的一份清单

现在各个公司都有自己的SOC安全日志中心,有的是自己搭建的,有的是买厂商的,更多的情况是,各种复合类的的组织结构。这些日志来自不同的服务器,不同的部门五花八门。...

1952
FB客服

Burp XXE Scanner 插件开发(附下载)

Burp没有自带检测XXE漏洞功能,也没有插件。于是自己开始动手撸一个XXE Scanner插件出来。

1054
FB客服

一项有趣的实验:装了杀软的主机真的安全吗?

我们有的理由怀疑自己的主机早被感染了恶意程序。大部分人都是采用重打包后的镜像来安装的盗版系统;用的不知从哪儿下回来的工具激活的系统;平常在网上下载的工具奉行的都...

953
FB客服

Burpsuite结合SQLMap API产生的批量注入插件(X10)

Tamper:列表中的是sqlmap自带的tamper,输入框中可填入自定义的tamper使用 ”,“逗号分割 。

1256
FB客服

Netflix公开漏洞奖励项目,Dropbox修改漏洞披露政策

本周三,Netflix 宣布在 Bugcrowd 平台公开其漏洞奖励项目,单个漏洞奖金高达 15000 美元。此外,Dropbox 也修改了其漏洞披露政策,承诺...

3544
FB客服

挖洞经验 | 记一次针对Twitter(Periscope)API 的有趣挖洞经历

近期,我在Twitter的Periscope服务中发现了一个漏洞。这是一个CSRF(跨站请求伪造)漏洞,虽然这个漏洞并不算是高危漏洞,但是发现该漏洞的整个过程我...

3236
FB客服

没有准考证号我是如何暴力查询英语六级成绩的

8月22日上午9时,CET6级成绩开始查询了。然而,忘记自己准考证号的也不在少数,而我,非常幸运,成为其中一员。仔细想了想,自己的准考证号是不太可能找回来了。 ...

4117

扫码关注云+社区