腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

黑白安全

黑白网成立于2014年，基于丰富的技术和经验，提供各类技术性动态。官网:heibai.org.cn

专栏作者

1299

文章

2147744

阅读量

250

订阅数

从CVE-2018-4441看jsc的OOB利用

编程算法网络安全安全存储 javascript

作者最近研究了safari浏览器javascriptCore引擎的一个OOB漏洞CVE-2018-4441，虽然这是一个比较老的漏洞，但是研究这个漏洞还是能学到不少东西。这里介绍了jsc环境搭建的方法和jsc一些基本调试技巧，详细分析了CVE-2018-4441的漏洞成因和lokihardt堆喷修改数组长度构成OOB的方法，希望读者读完能有所收获。

2022-04-26

1K0

SURF路由器安全漏洞研究

安全 dns 网络安全 tcp/ip 存储

在2019年6月，我们发布了一篇关于Belkin SURF N300路由器上进行硬件调试的博客文章。在本博客中，我们将研究Josep Pi Rodriguez和PedroGuillénNúñez在此平台上所报告的10多个漏洞。 Belkin已接受我们的漏洞报告，但Belkin表示该产品已停产，相关漏洞不再进行修补。这些漏洞影响了Belkin SuperT

2022-04-26

1.1K0

APT取证分析中的数据压缩

网络安全安全 apt-get linux 存储

介绍一旦检测到APT攻击事件，取证分析将使用系统审计日志来快速定位入侵点，并确定攻击的影响。由于APT攻击的高持久性，将存储大量数据以满足取证分析的需要，这不仅带来了巨大的存储开销，而且还急剧增加了计算成本（在现实世界中，政府和企业往往需要同时在数千台机器上收集数据，原始数据量很容易达到PB级）。因此，需要实现数据压缩方法，本文提出了一种通用、高效、实时的系

2022-04-19

5520

广东省佛山市禅城区人民法院判决一使用JAVE语言非法接入12123官网非法获利案件

2019年2月，郭建华出资购买交管12123官网接口并交予从事软件开发的廖永乐，廖永乐利用交管12123官网（交通安全综合服务管理平台）技术漏洞，使用JAVE语言，在“风清扬”查号软件基础上，接入交管12123官网，调用第三方（超级鹰）接口进行识别，绕过人工识别，改进、开发用于查询全国各地市交通安全综合服务管理平台汽车号牌的软件MIUMIU及网站CI。开发完成后，郭建华向他人出售MIUMIU软件及CI网站全国、省、市三级查询权限，从中非法获利约人民币425000元。上述款项由郭建华、廖永乐二人按比例分成。

2021-09-07

6360

浅析社会工程学情报搜集：互联网=军火库

黑客安全存储网站搜索引擎

世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到，人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金，最终导致数据泄露的原因，往往却是发生在人本身。你们可能永远都想象不到，对于黑客们来说，通过一个用户名、一串数字、一串英文代码，社会工程师就可以通过这么几条的线索，通过社工攻击手段，加以筛选、整理，就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼，而且还是最麻烦的方法。一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学黑客技术。

2020-02-20

4.3K0

所有 Intel 处理器面临新攻击 SPOILER，软件层面无解

安全存储 https 网络安全

美国和德国的计算机科学家发表了一篇论文，披露了针对英特尔处理器的新攻击 SPOILER。

2020-01-20

3910

宝塔面板6.x版本前台存储xss+后台csrf组合拳getshell

存储 shell windows linux 网站

宝塔是近几年刚崛起的一款服务器面板，深受各大站长的喜欢，windows2003 windows2008windosws 2012系统，linux centos deepin debian fedora系统都可以使用宝塔的面板来管理服务器，宝塔可以一键部署网站的环境，IIS环境搭建，Nginx环境，PHP环境搭建，apache jsp环境，mysql数据库，oracle数据库搭建，以及一键设置FTP账户密码，文件面板在线管理都可以很简单的利用宝塔搭建起来。

2018-12-13

1.8K0

树洞外链存在Xss漏洞

树洞外链让站长能以最简单的方式、最低廉的成本搭建外链服务网站而不必操心文件服务器的维护等工作。

2018-12-04

1.3K0

web攻击方法及防御总结

存储 http php 安全

根本原因：web的隐式身份验证机制解决办法：为每一个提交的表单生成一个随机token，存储在session中，每次验证表单token，检查token是否正确。

2018-10-12

7860

WAF绕过的一些总结和思考

云数据库 SQL Server sql 存储 ide 安全

WAF分类： 1.网络层类 2.最常见且容易部署的应用层类（部署在APAC++HE之前，APAC++HE之后）应用层WAF – 利用WAF自身缺陷和MYSQL语法特性并结合实际绕过： WAF最常见检测方式：关键词检测例如如果出现 [空格]union[空格] 这样的SQL语句则视为恶意请求，丢弃这个数据包，XSS代码同理。常见的绕过类型：类型1：数据包 -> WAF（利用string存储请求参数，解码后检测）-> APAC++HE C++语言等利用string等储存结构存储请求，

2018-10-11

6040

快速入门xss 判断网站是否存在xss漏洞

html 存储安全 java http

XSS全称跨站脚本攻击，用户浏览网页时，嵌入的Script代码被执行，从而达到攻击用户的目的，常见漏洞页面，网站搜索页面，留言板。

2018-10-10

13.1K0

“超越权限”侵入计算机信息系统是否构成犯罪？

存储安全微信

超越授权权限进入计算机信息系统，其本质仍是违背了被害方的意愿，仍属于非法获取计算机信息系统数据罪中的侵入他人计算机信息系统的行为。

2018-09-28

5880

新漏洞允许黑客访问处于睡眠模式的电脑

黑客安全存储

互联网安全公司F-Secure发现了一个新漏洞，几乎影响到每台电脑。新发现的漏洞可能允许黑客在电脑进入睡眠状态时访问加密的硬盘。F-Secure在博客文章中分享了有关漏洞的详细信息。他们透露，“最现代化的电脑”固件存在一个问题，它可能让攻击者通过新的冷启动攻击来窃取加密密钥以及笔记本电脑的所有数据。然而，好消息是，攻击无法远程执行，需要物理访问设备。

2018-09-28

4960

网络时代，你的信息安全吗？你的信息在悄悄泄露，你知道吗？

安全存储微信黑客网络安全

智能手机现在的普及率极高，大家使用网络平台端支付、消费、注册各种网站、软件，不少客户端需要上传本人身份证、银行卡等信息及照片，基本各大平台都注明：该信息不会透露给其他使用。就像淘宝开店，闲鱼交易等好多都留存了用户的身份证正反面照片以及手持照片信息 !按说这些除了国家政府机关外其他厂商不应该在服务器上留存身份证照片信息的就像信用卡的信息不允许留存,只供验证校对后立即销毁一样的。厂商们核实用户信息后就该把用户身份证照片啥的删掉,不允许存在服务器上。没人敢保证自己的公司用户信息绝对安全的，所以信息泄露是迟早的事情,短则三五年,安全做得好些,坚持个十来年不出问题。

2018-09-28

8100

什么是搜索引擎索引和收录？有什么区别？

搜索引擎 seo 数据库编程算法存储

昨天和一个做网站优化的朋友（SEO 新手）交流，说到了搜索引擎的索引、收录，子凡相信这也是很多入门 SEO 新手都比较容易混淆的两个点，所以我们就一起来看看搜索引擎索引和收录有什么区别吧！

2018-09-28

1K0

罗克韦尔 Allen Bradley MicroLogix 1400 系列工控设备曝多项严重漏洞

自动化安全漏洞存储

罗克韦尔自动化公司的 Allen-Bradley MicroLogix 1400 可编程逻辑控制器( PLCs )被用于各种不同的工业控制系统（ICS）的应用和流程，这些 PLCs 设备为不同的关键基础设施部门执行关键过程控制功能提供了一定支撑。

2018-08-29

6920

XSS攻击另类玩法

安全存储 java ajax

天就来讲一下大家都熟悉的 xss漏洞的攻击利用。相信大家对xss已经很熟悉了，但是很多安全人员的意识里 xss漏洞危害只有弹窗或者窃取cookie。但是xss还有更多的花式玩法，今天将介绍几种。

2018-08-29

7780

Memsniff：一款开源的Memcached流量分析工具

开源 memcached 存储数据库

在<span "="">知名在线资源存储网站Box上，我们看到云服务已经经历了从一小撮应用服务器和数据库到高规格、高性能协作平台的转变。像大多数大型网络公司一样，Box也依赖于使用分布式缓存层来缓存经常访问的数据。

2018-08-29

8940

iOS ZipperDown 漏洞来袭，我们该如何应对？

ios 安全存储

昨天傍晚盘古实验室负责任的披露了针对 iOS 应用的 ZipperDown 漏洞，并提供了检索、查询受影响应用的平台： zipperdown.com。基于目前公开的信息，该漏洞的影响面比较大，15000 多个应用可能受此漏洞影响。并且，结合应用中的其它安全缺陷，可以在某些应用上获得远程任意代码执行能力，即：远程控制目标应用，危害也较大。由于目前官方没有公开 ZipperDown 的详细信息，所以这里会跟大家分享、探讨一下针对 iOS 应用的防守策略以及针对具体功能点的防守方法。

2018-08-29

7650

俄罗斯 Telegrab 恶意软件获取桌面版 Telegram 的凭证、cookie、桌面缓存和关键文件

缓存安全存储

思科 Talos 集团的安全专家发现了一种新型的恶意软件 Telegrab ，针对桌面版端到端加密即时消息服务 Telegram 发起攻击。

2018-08-29

8630

点击加载更多

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态