-
DNSLOG平台搭建从0到1
作者:saltor1 前言DNSLOG是一种回显机制,常用于在某些漏洞无法回显但可以发起DNS请求的情况下,利用此方式外带数据,以解决某些漏洞由于无回显而难以利用的问题。主要利用场景有SQL盲注、无回显的命令执行、无回显的SSRF。本文介绍...
-
中国黑客群体的真实收入
文章来源于黑白之道从圈外认知来说,黑客一直被认为是高收入群体,黑客有白帽和黑帽处于黑白两道的黑客会的技术都有些相似,但是却是对立的,白帽做网络安全,修补漏洞。黑帽各种破坏,挖数据,攻击漏洞。可能很多人都会觉得黑帽黑客会赚的非常多,让我们一起...
-
干货 | Linux系统行为新型实时监控技术
作者:王建荣 万物互联和大数据技术的发展,让我们的生活更加活色生香,其背后离不开安全、稳定可靠的服务器系统。 为...
-
复杂风控场景下,如何打造一款高效的规则引擎
| 在互联网时代,安全已经成为企业的命脉。美团信息安全团队需要采用各种措施和手段来保障业务安全,从而确保美团平台上的用户和商户利益不会受到侵害。本文主要介绍了美团在打造自有规则引擎Zeus(中文名“宙斯”)的过程中,信息安全团队遇...
-
SSRF攻击姿势汇总
前言这是很早就整理的笔记,今天想起来发到博客上,还是要保持写文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request smuggle、SSO任意跳转,Url解析不一致导致的安全问题。一方面由衷地...
-
如果网站的 Cookie 特别多特别大,会发生什么情况?
有没有想过,如果网站的 Cookie 特别多特别大,会发生什么情况?不多说,马上来试验一下:for (i = 0; i < 20; i++) ...
-
已知邮箱,求手机号码?
( 本文中出现的所有数据均为虚构,如有雷同纯属巧合。)个人隐私泄漏越来越严重。个人基本信息的重要程度大致排序如下图,最右为最高。已知某人邮箱为zhangsanXXX@sohu.com,如何找到他的手机号码?解:工信部《电信网编号计...
-
哆啦靶场XSS挑战赛1-10关攻略
哆啦集成了网络上常见的靶场与GitHub上比较好的靶场系统,配合一键启动模式,省去你去收集再进行搭建的时间,方便你更加快速的学习信息安全。该靶场已经正式开源,黑白网去除登录限制重构靶场环境,bachang.heibai.org正文部分XSS...
-
应急响应之CC攻击事件
CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库压力就越大,被访问的频率也越高,占用的系统资源也就相当可观。 一,定义...
-
Xss之Flash钓鱼
相信很多朋友都看过Xss 弹出Flash更新进行钓鱼的文章但大多文章都是一句话概括,故此写一篇关于这方面的文章剧情:某日xxx黑客,发现某网站存在Xss漏洞,但是有httponly,xxx黑客就想利用Xss进行钓鱼,如果只是钓到账号密码,可...
