未分類 第2頁

原文出處：https://xz.aliyun.com/t/2824 如今，Microsoft的Office產品已經成為滋生各種新型攻擊手法的沃土，這些攻擊手法包括從相對簡單的資料注入，如DDE[1]和CSV[2]中的注入方法，到針對嵌入式遺...

讚(0)波波2018-09-30閱讀(1854)

原文出處：https://xz.aliyun.com/t/2731 本篇文章對一些常見的公鑰RSA攻擊進行小結 Rabin演算法 低指數攻擊 低指數廣播攻擊 Related Message Attack Winner's Attack Bo...

讚(0)波波2018-09-14閱讀(1463)

原文出處：https://xz.aliyun.com/t/2563 通過CTF接觸到雜湊長度擴充套件攻擊，本文將詳細分析如何對一些比較弱的Message Authentication codes (MACs)進行這種攻擊，最後也將結合CTF...

讚(0)波波2018-08-16閱讀(2264)

原文出處：https://mp.weixin.qq.com/s/bbEMrUkD5ItQAeiBj4mErw 使用者通過在壓縮檔案中構造包含有特定檔名稱的壓縮檔案時，在進行解壓時，會導致跨目錄任意寫入檔案漏洞的攻擊。進而有可能被Getshe...

讚(0)波波2018-06-30閱讀(1431)

原文出處：https://xz.aliyun.com/t/2400 2018先知白帽大會剛結束，趁新鮮趕快來讀一下。 前所未有的安全漏洞與威脅接踵而來，舊的防禦思想已無法應對。 文章圖片來源：https://xianzhi.aliyun.c...

讚(0)波波2018-06-22閱讀(1775)

原文出處：https://medium.com/@happyholic1203/phpmyadmin-4-8-0-4-8-1-remote-code-execution-257bcc146f8e 由資安研究人員Henry Huang 在PH...

讚(0)波波2018-06-21閱讀(1424)

在設計紅隊的網絡基礎設施架構時，要考慮到否能夠提供長期（數週、數月、數年）和穩定的響應服務，這要根據功能來拆分每個資產服務，這一點非常重要。當網絡對抗中的資產服務被(藍隊)發現時，將會造成對方的警覺。 原文出處：https://paper....

讚(0)波波2018-05-16閱讀(1818)

手機驗證碼在web應用中得到越來越多的應用，通常在用戶登陸，用戶註冊，密碼重置等業務模塊用手機驗證碼進行身份驗證。針對手機驗證碼可能存在的問題，收集了一些手機驗證碼漏洞的案例，這裡做一個歸納總結，在測試中，讓自己的思路更加明確。常見的手機驗...

讚(0)波波2018-05-12閱讀(1964)

CVE-2018-873X組合拳：深入分析NagiosXI漏洞鏈 在NagiosXI中，我們發現了四個漏洞，這本不足為奇，然而，如果將它們鏈接在一起的話，卻可以構造出一個root級別RCE漏洞，具體利用代碼可在此處找到。換句話說，漏洞鏈接技...

讚(0)波波2018-05-07閱讀(1537)

對Web應用進行安全測試時，我們常常需要猜測網站的結構與目錄，若能得到網站詳盡的拓撲結構，得到重要的目錄名，文件名信息，可以為我們後續的測試創造良好的基礎。 在Linux下，我們並沒有特別好的辦法，只能嘗試去識別應用指紋，或者是暴力枚舉，這...

讚(0)波波2018-05-02閱讀(1379)