首页

加密浏览器Brave被曝隐私漏洞,向DNS服务器泄

2月19日,加密浏览器Brave被曝存在隐私漏洞,用户使用匿名浏览模式Tor时,会将访问信息泄露给DNS服务器。随后,开发团队回应称漏洞存在于浏览器的广告拦截组件中,目前该漏洞已修复。图/用户每一条Tor访问信息都会发送给DNS提供商,来源:Security Affairs据安全媒体Security Affairs报道...

作者:管理员 查看:13 时间:2021-02-21

基于AI的SQL注入检测识别效果专题研究

一、SQL注入原理与检测方法SQL注入攻击是web安全防御所面临的最常见攻击手段。攻击者利用web网站没有细致过滤访问者提交的SQL语句的漏洞,构造特殊的输入参数作为访问请求的一部分,通过绕过服务器防护执行恶意SQL命令的方式,获取web服务器系统信息、拷贝或删除文件、操作数据库、甚至提升权限以进行更多恶意行为。传统的...

作者:管理员 查看:21 时间:2021-02-14

如何使用js-x-ray检测JavaScript和

js-x-rayjs-x-ray是一款功能强大的开源SAST扫描工具,其本质上是一个静态分析工具,可以帮助广大研究人员检测JavaScript和Node.js中的常见恶意行为&模式。该工具可以执行JavaScript AST分析,其目的是导出Node-Secure AST Analysis以实现更好的代码演化,...

作者:管理员 查看:23 时间:2021-02-12

“大发111888非法赌博组织”IIS恶意劫持流量

背景近期,404积极防御实验室通过创宇安全大脑——业务安全舆情监控平台陆续监测并预警了65所学校、政府及科研机构的学报和期刊系统存在相同的非法赌博广告页面。受影响的网站都使用某公司开发的期刊采编系统,该系统在高校、科研领域广泛应用。涉及此次事件的“大发111888非法赌博组织”早在3年前就已存在,近期开始活跃。攻击方式...

作者:管理员 查看:26 时间:2021-02-11

如何使用0d1n对Web应用程序进行自动化定制渗透

0d1n0d1n是一款针对Web应用程序的自动化定制渗透工具,该工具完全采用C语言开发,并且使用了pthreads线程库以实现更好的性能。在0d1n的帮助下,广大研究人员可以轻松对目标Web应用程序执行自动化定制渗透测试。工具功能以认证模式暴力破解登录凭证(账号和密码);目录泄露(使用PATH列表进行爆破,并查找HTT...

作者:管理员 查看:29 时间:2021-02-10

SharpMapExec:针对网络渗透测试高级瑞士

SharpMapExecSharpMapExec是一款针对网络渗透测试高级瑞士Knife,该工具基于CrackMapExec,可以将其理解为是CrackMapExec的优化版本。该工具的目的是简化网络渗透测试的任务操作,并提供一个多功能的渗透测试平台,该工具目前仅支持在Windows操作系统上运行,这也符合内部威胁模拟...

作者:管理员 查看:31 时间:2021-02-08

研究人员披露如何攻入微软VS Code的Githu

概述就在这个月,一位安全研究人员披露了他是如何渗透进微软Visual Studio Code的官方GitHub存储库的。据了解,微软Visual Studio Code的问题管理功能中存在一个安全漏洞,并且缺少了相应的身份验证检测机制,这将允许研究人员以及网络攻击者能够获取到推送访问,并将其写入到代码库中。由于这名研究...

作者:管理员 查看:23 时间:2021-02-04

一网打尽端口复用 VS Haproxy端口复用

本文作者:Spark(Ms08067内网安全小组成员)一、概述Haproxy是一个使用c语言开发的高性能负载均衡代理软件,提供tcp和http的应用程序代理,免费、快速且可靠。类似frp,使用一个配置文件+一个server就可以运行。优点:大型业务领域应用广泛支持四层代理(传输层)以及七层代理(应用层)支持acl(访问...

作者:管理员 查看:25 时间:2021-02-04

从Shiro权限绕过Getshell

引言此次为授权渗透,但客户就丢了一个链接啥都没了。这种情况不好搞,分享这篇文章的原因主要是过程曲折,给大家提供下一些思路,当然大佬有更好的思路也可以分享下。PS:本文仅用于技术讨论与分享,严禁用于任何非法用途,违者后果自负。正文打开登录页面,第一反应是先试试错误次数有没有限制,用户名可否枚举。然后有个记住我,尝试下sh...

作者:管理员 查看:26 时间:2021-02-04

又现新型恶意软件:针对意大利用户的Android恶

根据媒体的最新报道,意大利CERT的研究人员警告称,近期出现的新型Android恶意软件Oscorp正在利用手机的辅助服务(Accessibility Service)来进行恶意攻击。近期,来自安全公司AddressIntel的研究人员发现了一个名为Oscorp的新型Android恶意软件,而Oscorp这个名字来源于...

作者:管理员 查看:31 时间:2021-02-02