首页
学习
活动
专区
工具
TVP
发布

FreeBuf

专栏作者
8085
文章
9118883
阅读量
349
订阅数
AI-Gateway:一款整合了OpenAI、Anthropic、LLama2等大语言模型的统一API接口
AI-Gateway是一款针对大语言模型的统一API接口,该接口可以用在应用程序和托管的大语言模型(LLM)之间,该工具可以允许我们通过一个统一的API接口将API请求转发给OpenAI、Anthropic、Mistral、LLama2、Anyscale、Google Gemini等大语言模型。
FB客服
2024-02-26
1870
C2-Search-Netlas:一款基于Netlas API的强大C2服务器识别与检测工具
C2-Search-Netlas是一款功能强大的命令与控制(C2)服务器检测工具,该工具使用Java语言开发,基于Netlas API实现其功能,可以帮助广大研究人员轻松快速地识别和检测目标C2服务器的相关信息。
FB客服
2024-02-05
930
如何使用TinyTracer跟踪API调用
TinyTracer是一款功能强大的API调用跟踪工具,在该工具的帮助下,广大研究人员能够轻松实现API的调用跟踪。
FB客服
2023-12-06
890
为什么开源的LaZagne会让D-Bus API陷入安全窘境
在这篇文章中,我们将描述攻击者如何利用LaZagne从Pidgin D-Bus API来获取这些敏感信息,以及为什么我们要对D-Bus API的行为保持安全警惕。除此之外,我们还将介绍攻击者如何在特定的恶意软件活动中使用LaZagne。
FB客服
2023-10-06
1510
Columbus:一个基于API实现的子域名发现服务工具
Columbus是一款功能强大的子域名发现与枚举工具,该工具基于API实现其功能,并且还提供了很多其他的高级功能。在该工具的帮助下,广大研究人员可以快速且高效地实现子域名枚举任务。
FB客服
2023-09-28
1500
如何使用Mantra在JS文件或Web页面中搜索泄漏的API密钥
Mantra是一款功能强大的API密钥扫描与提取工具,该工具基于Go语言开发,其主要目标就是帮助广大研究人员在JavaScript文件或HTML页面中搜索泄漏的API密钥。
FB客服
2023-09-18
2160
salt-scanner:一款基于Vulners Audit API和Salt Open的Linux漏洞扫描工具
salt-scanner是一款基于Vulners Audit API和Salt Open的Linux漏洞扫描工具,该工具整合了JIRA,并带有Slack通知功能。在该工具的帮助下,广大研究人员可以轻松实现针对Linux操作系统的安全漏洞扫描任务,并及时获取最新的扫描结果。
FB客服
2023-09-08
1610
RedditC2:一款基于Reddit API的C2流量托管工具
RedditC2是一款基于Reddit API的C2流量托管工具,该工具能够使用Reddit API来托管C2流量,由于大部分蓝队研究人员都会使用Reddit,因此使用Reddit API就变成了一个伪装合法流量的绝佳方式。
FB客服
2023-08-08
2510
如何使用LinkedInDumper并通过LinkedIn API转储企业员工信息
LinkedInDumper是一款针对LinkedIn社交媒体网络平台的数据收集工具,该工具基于Python 3开发,可以帮助广大企业网络安全管理人员或其他领域的安全专家转储目标组织或企业的员工LinkedIn数据。
FB客服
2023-08-08
1470
安全敞口:应用程序和API攻击不断飙升
近日,Akamai发布了《应用程序和API安全研究报告》,揭示了新兴的应用程序和API攻击形势,以更好地评估不断发展的TTP,并讨论了最新的保护技术。 漏洞之年 像Log4Shell和Spring4Shell这样的关键漏洞揭示了web应用程序和API存在的严重风险,以及它们作为威胁表面的重要性。随着组织继续采用更多的web应用程序来增强整体业务运营,每家公司平均使用1061个应用程序,这种攻击面还在继续扩大。随着新兴的零日漏洞数量在现有的安全漏洞之上进一步加速,组织比以往任何时候都更需要应用程序安全
FB客服
2023-05-12
2510
为什么API网关不足以保证API安全?API安全之路指向何处
云计算架构的出现使企业重新思考应用程序的扩展方式,从而推动了企业摆脱通过虚拟机等基础设施部署全栈应用程序,而是通过创建由多个互操作服务组成的 API,采用微服务方法。 根据Gartner的预测,到2023年,超过50% 的B2B交易将摆脱传统方式,转而通过实时API进行。 值得警惕的是,虽然 API 的市场规模增长迅速,但是安全威胁也在增长。目前,虽然API 网关为 API 安全提供了各种核心功能,在 API 管理和 API 交付中发挥了重要作用,但是解决 API 的新兴风险需要传统 API 网关范围之外
FB客服
2023-03-30
3100
恶意软件利用API Hammering 技术规避沙盒检测
研究人员在最近发现的 Zloader 和 BazarLoader 样本中发现了沙盒规避技术 API Hammering 的新实现。攻击者将 API Hammering 对 Windows API 的大量调用作为休眠的一种实现形式,用以规避沙盒检测。  恶意软件休眠形式  恶意软件最简单的休眠方式就是调用 Windows API Sleep,另一种较为隐蔽的方式是 ping sleep 技术,恶意软件会在循环中不断将 ICMP 数据包发送到指定的 IP 地址,发送和接收这些无用的 ping 消息需要一定的时间
FB客服
2023-03-30
3440
企业保护API安全迫在眉睫
最近,Imperva 发布了一项新的研究结果,揭示了易受攻击的 API 全球成本正在不断上升,在对近 117000 起特定的网络安全事件分析估计,发现 API 安全威胁每年导致 410-750 亿美元的损失。 从研究结果来看,大型企业发生 API 相关安全事件的比例更高,收入至少为 1000 亿美元的企业遇到 API 安全问题的可能性是中小型企业的 3-4 倍。这一数据侧面表明,大型企业正在加速数字化转型,特别容易受到与未受保护API 有关的安全风险影响。 API 作为一种无形的连接组织,使应用程序能够共
FB客服
2023-03-30
1960
如何使用mitmproxy2swagger对REST API进行逆向工程分析
 关于mitmproxy2swagger  mitmproxy2swagger是一款功能强大的逆向工程分析工具,该工具能够以自动化的形式将捕捉到的mitmproxy数据转换为符合OpenAPI 3.0规范的数据。这也就意味着,在该工具的帮助下,广大研究人员能够以自动化的形式对REST API进行逆向分析,并捕捉流量数据。 除此之外,该工具还可以支持从浏览器开发者工具导出并处理HAR文件。  工具安装  由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3和pip 3环
FB客服
2023-03-30
1.2K0
如何使用crAPI学习保护API的安全
 关于crAPI  crAPI是一个针对API安全的学习和研究平台,在该工具的帮助下,广大研究人员可以轻松学习和了解排名前十的关键API安全风险。因此,crAPI在设计上故意遗留了大量安全漏洞,我们可以通过 crAPI学习和研究API安全。 crAPI采用了现代编程架构,该工具基于微服务架构构建,只需建立一个账号,即可开启我们的API安全研究之旅。 crAPI的挑战是让您尽可能多地发现和利用这些漏洞,破解crAPI有两种方法-第一种是将其视为一个完整的黑盒测试,在那里你不知道方向,只是尝试从头开始理解应用程
FB客服
2023-03-30
7490
超3200个应用程序泄露了 Twitter API 密钥
近日,网络安全研究人员发现一组异常的移动应用程序,这些应用程序向民众公开了 Twitter API 密钥,据统计,此类应用程序多达 3200 个。 网络安全公司 CloudSEK 首次发现了这一问题,该公司在检查大型应用程序集合是否存在数据泄漏时,发现了大量应用程序泄露了 Twitter  API 密钥。 据悉,造成这一现象的主要原因是开发者在整合移动应用与 Twitter 时,会得到一个特殊的认证密钥(或称),允许其移动应用与 Twitter  API 交互。当用户使其 Twitter账户与移动应用联系
FB客服
2023-03-30
6700
API安全Top 10 漏洞:crAPI漏洞靶场与解题思路
 关于Caldera  又名“火山口”,是一款攻防自动化对抗框架。就不多介绍了,网上有很多介绍的文章,接下来从安装开始。  Caldera安装  包含一些我踩过的坑以及注意事项。注意:不支持windows。 官方github地址:https://github.com/mitre/caldera 需要golang环境和python环境。python版本尽量3.7,高版本容易报错。 语言环境弄好之后,按照其说明进行安装: git clone https://github.com/mitre/caldera
FB客服
2023-03-29
5580
万科集团吴致远:云时代的安全挑战与发展 | FreeCoolTalk
全球正在朝着数字化的方向滚滚前行,我国“东数西算”工程也在2022年全面启动,越来越多的传统企业走上了云端。万物“皆可上云”向着“皆需上云”的趋势转变,根据 GIV 预测,至 2025 年,全球企业云技术使用率将达到 100%。 数字化和云化正在改变一切,同时也带来了新的云威胁。在企业云安全市场爆发的背后,云安全问题日益严峻,和传统安全问题相比,云安全问题更加难以发现,且产生的危害也更加巨大。 越来越多的企业逐渐增加对安全方面的投入,同时细分领域和场景的安全实践推动云安全市场需求水涨船高。如何真正做好云时
FB客服
2023-02-24
8090
如何阻止云中的DDoS攻击
从2022年1月到7月,Sysdig威胁研究团队实施了一个全球蜜网系统,通过多个攻击载体捕获了大量漏洞。Sysdig在《2022年云原生威胁报告》中指出,相较2021年,2022年的攻击类型已经从加密挖矿明显转向分布式拒绝服务(DDoS)活动。 如果组织希望通过检测与此威胁相关的早期迹象,来了解如何在云环境中预防DDoS攻击,那么本文将介绍保护云基础设施所需的大多数最佳实践。 云中DoS攻击的技术和方法 在OSI(Open Systems Interconnection)模型中,DDoS攻击的模式和行为
FB客服
2023-02-24
1.5K0
SQLmap Tamper-API:一款功能强大的tamper脚本处理工具
 关于SQLmap Tamper-API  SQLmap Tamper-API是一款功能强大的tamper脚本处理工具,在该工具的帮助下,广大研究人员可以选择使用自己最喜欢的编程语言来编写SQLmap的tamper脚本,并在SQLmap中执行。 SQLmap Tamper-API本质上是一个API(应用程序编程接口),它可以解决SQLmap的原生限制,即只能接受Python语言来编写temper脚本。  运行机制  tapmer-api.py脚本会以JSON格式来将Payload和kwargs以参数的形
FB客服
2023-02-24
5250
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
热点技术征文第五期
新风口Sora来袭,普通人该如何把握机会?
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档