技术分享
每日安全知识热点
hook Android系统调用的乐趣、勒索软件的常见加密方法总结、代码混淆防止符号执行攻击、TLS协议分析、Google Project Zero挖洞经验整理
【技术分享】
XSSI: 一个不出名但是
影响广泛的Web漏洞
在这篇文章中我将演示如果找到XSSI(跨站脚本包含漏洞),利用XSSI和如何防护XSSI漏洞。
【技术分享】
反侦测的艺术part1:
介绍AV和检测的技术
本文将要介绍一些有效的绕过最新的杀软的静态、动态和启发式分析的方法。一些方法已经为公众所熟知,但是还是有一些方法和实现技巧是实现绕过检测的关键。
【技术分享】
反侦测的艺术part2:
精心打造PE后门(含演示视频)
本文将为读者详细介绍渗透测试人员将后门植入PE(便携式可执行文件)文件中的几种方法。要想完全掌握本文的内容,读者至少需要熟悉x86汇编知识,并精通调试器,同时还需要对PE文件格式有着全面的了解。
【技术分享】
基于COM对象MMC20.Application
的横向运动
对于渗透测试人员来说,在Windows系统中进行横向移动的招数是非常有限的,可利用的技术屈指可数。由于横向移动技术少的可怜,所以更成熟的防御者对它们早就烂熟于心,并且很容易做好相应的防御措施。由于这个原因,我开始寻找一种替代方式来跳转到远程系统。
【技术分享】
BROP Attack之Nginx远程代码
执行漏洞分析及利用
本文主要分析了Nginx漏洞(CVE-2013-2028)的原理,以及这个Nginx漏洞的Exploit来全方位浅析BROP这种利用方式,关于这个漏洞的原理,网上有详细说明,这里我将结合Exploit的利用来讲解整个过程。文中有失误的地方还请师傅们多多包含,多多批评指正。
【技术分享】
阿里巴巴直播防控中的
实人认证技术
网络直播在进行实人认证时,需要对包括姓名、证件号、生物属性、手机和位置等要素进行识别,如何在提高用户体验的同时准确的判断账号背后真实的人,也是目前困扰着各大公司的一大难题。目前阿里聚安全实人认证中使用的技术能够大大提供自动化认证率和审核效率。
安全资讯
每日安全资讯
今日要闻推荐:未来信息安全咨询市场总值将达到261.5亿美元;FireEye发布报告《风暴中心的APT28》:揭秘俄罗斯政府操控的黑客组织APT28;特朗普网络安全顾问的网站被发现安全性极差;Kapustkiy黑客攻击委内瑞拉政府的网站抗议尼古拉斯马杜罗的独裁。
【安全资讯】
WhatsApp被爆后门将允许攻击者
拦截并读取你的加密信息?
绝大多数的安全专家都认为“这更像是一个专门设计的功能,而不是一个后门”。但是在某些情况下,WhatsApp和其他任意一名黑客都可以利用这个后门来拦截并读取端到端加密聊天的数据,这也是那些安全研究专家无法否认的事实。那么,这个后门到底是一个特殊设计的功能,还是一个编码错误所导致的漏洞呢?接下来,且看我们给您细细道来。
【安全资讯】
知名搜索引擎Elasticsearch
成为勒索软件敲诈目标
根据国外媒体的最新报道,继大量MongoDB数据库遭到大规模勒索攻击之后,现在又有数百台存在安全缺陷的Elasticsearch服务器在过去的几个小时之内遭到了勒索攻击,并被擦除了服务器中的全部数据。安全研究专家Niall Merrigan估计,目前已经有超过2711台Elasticsearch服务器实例遭到了攻击。
本文转载于微信公众号: 安全客资讯平台(anquanbobao),更多微信文章请扫描关注公众号:
| 
注册
登录
