黑白直播信息安云
2019-04-25
大家好,我是凌云。上个星期,我跟大熊聊起酒店开房的事,他说妹子有什么好聊的。我俩最喜欢去肯德基,那天等了他半小时,我都开始点吃了我摇摇头说不是,从知乎上打开一个问题递给他看。看完这个问题,我更不敢一个人住酒店了大熊看了眼,结结巴巴的说:“我也被人敲过,不对,不是敲门,是被开门!”我来了精神,让他赶紧跟我讲讲:“最近打算写一期酒店入住指南,得结合别人的真实经历...
黑白直播信息安云
2019-04-25
VTest - 漏洞测试辅助系统用于辅助安全工程师漏洞挖掘、测试、复现,集合了mock、httplog、dns tools、xss,可用于测试各类无回显、无法直观判断或特定场景下的漏洞,例如:存储型xss、ssrf、远程代码执行/注入、远程命令执行/注入、文件包含等。项目特点使用方便,集成常用的辅助功能零部署难度,python环境中直接运行即可功能介绍Moc...
黑白直播信息安云
2019-04-24
Digispark是一个这样的很小的开发板淘宝上10元左右一个准备Digispark ATtiny 85Arduino IDE 1.8.4 (parrot 中的ide是2.x版本的没有Board Manager) https://www.arduino.cc/en/Main/SoftwareDigispark驱动程序&nb...
黑白直播信息安云
2019-04-24
这是一款名叫Just-Metadata的工具,该工具可以帮助研究人员收集和分析IP地址元数据,并通过大量数据集寻找目标网络系统之间的层级关系。Just-MetadataJust-Metadata这款工具可以被动收集大量IP地址以及相关情报信息,并尝试推断出目标网络系统中各个设备系统之间的隐性关系。Just-Metadata的“gather”(收集)模块可以用...
黑白直播信息安云
2019-04-23
本文作者:0x584A(信安之路作者团队成员)今天是入职甲方公司做信息安全的第一个月,给我的感觉就是新鲜,思考及关注的面和做白帽子挖漏洞完全不一样。上周在写面向公司人员的安全意识培训材料,就邮件钓鱼实际演练了一波,效果还是有的。很多企业内部的安全部门,都会不定期的对员工进行邮件钓鱼,这是加深安全意识最有效的方法。构建钓鱼页面我这里利用的是 coba...
黑白直播信息安云
2019-04-23
写在前面的话为测试不同终端安全产品在渗透攻击下的真实反应,我组织技术部的同事针对市场上常见的几款终端安全产品进行了攻击测试,测试产品包括卡巴斯基KES11、360天擎、360EDR、金山、趋势、天融信等。本次对所选产品进行的测试都保留有测试视频,所有环境和结果可以重现。所做结论也只是针对本次测试,所有测评不为产品进行性能排序,不对产品好坏进行评价。仅仅站在一...
黑白直播信息安云
2019-04-23
4月22日下午,哔哩哔哩后台源码在GitHub上“被开源”,引发了很多用户关注,而在暴露长达数小时之后,该项目悉数被屏蔽,包括大量用户Fork的部分也无法访问。而在晚间哔哩哔哩通过官方微博发布针对该事件的回应,却又在几分钟后秒删。这一波操作,笔者是在看不懂了……下午有用户在微博上爆料B站后台源码被泄露,甚至还包含部分用户名和密码。笔者在知晓该事件之时,泄露原...
黑白直播信息安云
2019-04-21
mXtractmXtract是一款开源的Linux安全工具,该工具可从目标系统的内存中提取并分析数据。从本质上来说,mXtract是一款防御端渗透测试工具,它的主要功能是扫描目标系统内存并尝试通过正则表达式来从中提取出私钥、IP和用户密码等敏感数据。请记住,扫描结果跟正则表达式的质量息息相关…工具截图Verbose模式扫描单个IP正则式,扫描单个数据段,显示...
黑白直播信息安云
2019-04-20
2017年,黑客组织Shadow Brokers对外宣称他们已经成功入侵了美国国家安全局(NSA)下属的黑客组织Equation Group,下载了后者大量的攻击工具并在网上发起拍卖。而现在又有黑客发布了类似的黑客工具,不过这次来自于伊朗精英网络间谍部队之一,在业内被称之为APT34,Oilrig或HelixKitten。尽管本次发布的黑客工具并没有2017...
