FreeBuf

3233 篇文章
168 人订阅

https

FB客服

ffuf:Go语言编写的高速Web Fuzzer

ffuf是一款Go语言编写的高速Web Fuzzer工具,该项目深受大型项目gobuster和wfuzz的启发。

80
FB客服

PocSuite3:一款开源远程漏洞测试框架

今天给大家介绍的是一款名叫PocSuite3的开源漏洞测试框架,该工具由著名的Knownsec 404安全研究团队开发,广大安全人员可以利用该工具进行远程漏洞测...

362
FB客服

W12Scan:一款功能强大的网络安全资产扫描引擎

W12是一款功能强大的网络安全资产扫描引擎,它可以自动收集关于分析目标的相关资产信息,以供研究人员分析和使用。

1131
FB客服

Windows再曝“WannaCry”级漏洞 CVE-2019-0708,专治 XP、Win7

在WannaCry两周年之际,Windows再次被曝出存在高危远程漏洞。5月15日,微软官方发布了5月安全更新补丁共修复了82个漏洞,其中包含针对远程桌面(RD...

1733
FB客服

用绕过姿势形成SSRF获取印度最大股票经纪公司AWS密码凭据

测试刚开始,我注意到目标系统的一个服务路径(Endpoint)会与一些后台的文件系统进行交互,因此接下来我就自然而然地测试了本地文件包含漏洞(LFI),之后发现...

853
FB客服

使用Okadminfinder3搜索管理员面板与登陆页面

今天给大家介绍的是一款名叫Okadminfinder3的工具,广大研究人员可以在渗透测试的过程中,利用它来查找目标程序的管理员面板接口或管理员账户登录地址。

651
FB客服

TLS握手:回顾1.2、迎接1.3

HTTPS或者说SSL or TLS现在都是老生常谈的东西了,为什么还要写这篇文章?

743
FB客服

二维码劫持原理及恶意行为分析

之前看过其他的二维码登陆劫持漏洞,有的地方写的不是很详细,花了不少时间去研究二维码的原理,才弄懂漏洞。为了照顾更多入门新手,以本人的理解重新总结一遍,二维码登陆...

1296
FB客服

Recorded Future撞库攻击报告 | 泄露信息过亿,利润高达20倍

撞库攻击是如今最常见的攻击,给企业带来巨大威胁。撞库带来的威胁往往不是直接的,但是由此造成的信息泄露以及进一步的渗透与攻击会更为严重。Akamai的报告显示,2...

1105
FB客服

ISeeYou:一款社会工程学&网络钓鱼工具

今天给大家介绍的是一款名叫ISeeYou的强大社工工具,该工具基于Bash和JavaScript开发,可帮助研究人员在进行社工技术测试或网络钓鱼培训过程中快速定...

972
FB客服

Uber服务端响应中的API调用缺陷导致的账户劫持

今天分享的writeup是香港白帽Ron Chan (@ngalongc)发现的一个关于Uber网站的漏洞,他通过分析Uber的微服务架构和其中的API调用机制...

811
FB客服

与Yahoo和Paypal相关的两个独特漏洞($5k+$3.2k)

本文分享的是与Yahoo和Paypal相关的两个独特漏洞,一个为Yahoo的IDOR漏洞(不安全的直接对象引用),另一个为Paypal的DoS漏洞,两个漏洞的发...

892
FB客服

海豚链漏洞分析 [DC-01] RPC请求因For-loop导致OOM

DolphinChain 是由玄猫安全实验室维护的区块链应用靶机,旨在教授区块链应用程序安全课程。您可以使用 DolphinChain 进行安装和练习。

862
FB客服

微信多平台低版本漏洞之MMTLS绕过PC也能抢红包

说是漏洞有点夸大奇谈但是确实能绕过一定的限制来造成漏洞的效果。在游戏领域这个现象属实是属于BUG,身为某非知名IM公司开发人员在完善自身产品的同时也要像那些大厂...

801
FB客服

年末将至,Mirai挖矿致使机器不休假

近日,深信服安全团队基于SIP产品在国内发现一种新型的Mirai变种,该变种会进行门罗币挖矿并且通过SSH爆破来实现传播。

1082
FB客服

挖洞经验 | 绕过Slack后端SSRF防护机制

本文分享了一个存在于Slack接口api.slack.com中的缺陷,通过利用Slack内置的斜线命令(Slash Commands)功能,可以绕过Slack后...

701
FB客服

TLS 1.3遇上麻烦了

近期,研究人员发现了一种新型的Bleichenbacher攻击变种,而这种新型的加密攻击可以破坏加密的TLS流量。

743
FB客服

WinRAR远程代码执行漏洞结合Metasploit+Ngrok实现远程上线

Windows 操作系统下知名老牌的的压缩软件“WinRAR” 被国外安全研究团队爆出严重威胁用户的安全漏洞,被发现漏洞是“WinRAR”安装目录中的一个名为“...

752
FB客服

RSAC 2019 | 从Comcast看DevSecOps实践

在RSA 2019大会上,DevSecOps 是热词之一,大会还特设了DevSecOps Day来探讨这一主题。组委会以Comcast公司的DevSecOps实...

952
FB客服

Ghidra:这个来自NSA的软件逆向工程工具终于来啦!

是的,大家没有看错!Ghidra完全出自NSA之手,它是一款软件逆向工程(SRE)框架,由美国国家安全局研究理事会负责开发、升级和维护。这款框架包含了一整套功能...

762

扫码关注云+社区