登陆 注册
  • 学术报告|基于类型状态导向的Use-after-Free漏洞模糊测试技术

    googxxoogoogxxoo 2020-07-09

    Typestate-Guided Fuzzer for Discovering Use-after-Free Vulnerabilities报告人:jxin本文发表于软件工程顶级会议ICSE 20,第一作者是来自蚂蚁金服集团的王海军博士。   一、主要内容        ...

  • 我所认知的甲方信息安全建设经验

    googxxoogoogxxoo 2020-07-09

      毕业至今,从最初在乙方安全厂商做安全服务,辗转到互联网公司做安全研发,现今在金融国企做安全建设工作。几年信息安全职业生涯,我经历了从乙方到甲方的角色转换,经历了从互联网到国企的转变。兜兜转转的几年时间里,随着日常工作内容的改变,我对信息安全的认知也发生了一些变化。本篇我将记录总结一些甲方信息安全建设方面的经验,仅代表此时此刻我对于信息安全建设的一些认知(...

  • 邮件伪造之SPF绕过的5种思路

    googxxoogoogxxoo 2020-06-02

    SMTP(SimpleMail Transfer Protocol) 即简单邮件传输协议,正如名字所暗示的那样,它其实是一个非常简单的传输协议,无需身份认证,而且发件人的邮箱地址是可以由发信方任意声明的,利用这个特性可以伪造任意发件人。SPF出现的目的,就是为了防止随意伪造发件人。SPF,全称为 Sender Policy Framework,是一...

  • 邮箱伪造之搭建匿名SMTP服务器

    googxxoogoogxxoo 2020-05-30

    电子邮件欺骗(email spoofing)的根本原因是SMTP协议是不需要身份验证的,攻击者可以利用这个特性伪造电子邮件头,从任意电子邮件地址发送任何人,导致信息看起来来源于某个人或某个地方,而实际却不是真实的源地址。如果要实现邮箱伪造发件人地址,首先,我们需要一个可以用来发送邮件的SMTP服务器。在这里,我们将介绍如何搭建一个匿名SMTP服务器。0x01...

  • UEX交易所遭黑客攻击,平台币接近归零

    googxxoogoogxxoo 2020-05-28

    官方现已关闭充提币,预计需要5天左右修复和核实数据。受该事件影响,平台币UEX一度暴跌近100%。事实上,早在去年4月,UEX就曾宣布暂停运营。公告称,UEX用户需要在2019年5月10日前完成提币,逾期未提币的用户将被收取一定管理费。据公开报道,UEX为知名加密资本FBG领投的加密货币交易所,2018年7月宣布完成融资。文章来源:金融界、百度...

  • 为什么你去网上赌博,永远都会输?

    googxxoogoogxxoo 2020-05-28

    网络赌博陷阱“等我翻了本就不赌了……”这也许是大多数参赌者心中仅存的侥幸,但也是参赌者人生滑落的开始。随着网络时代的发展,赌博从线下走向线上,网络虚拟的身份与赌资数字化的特征,让人们更容易失去警惕性。与线下的赌博相比,数字化的赌资让人对金钱的感觉更加麻木,沉迷其中的速度也就更快。虽然看不到赌场、赌资甚至参赌者,但其和传统的赌博在本质上并没有任何区别,轻点鼠标...

  • 我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。

    googxxoogoogxxoo 2020-05-27

    大好,我是田浩。2020年5月14日,我刚注册公众号没多久,有个叫方子的男生发私信给我。说英雄联盟准备出手游,但内测资格一直没公开,有骗子利用这个机会,伪造官方给用户发送带有钓鱼链接的邮件来盗号。方子就是其中一个受害者,除了他,我也去了英雄联盟的贴吧看了下,确实有很多人收到了这类邮件。由于反馈这事的人比较多,加上我平常也玩LOL,所以整理了下线索,开整。1目...

  • 已知邮箱,求手机号码?

    googxxoogoogxxoo 2020-05-12

    ( 本文中出现的所有数据均为虚构,如有雷同纯属巧合。)个人隐私泄漏越来越严重。个人基本信息的重要程度大致排序如下图,最右为最高。已知某人邮箱为zhangsanXXX@sohu.com,如何找到他的手机号码?解:工信部《电信网编号计划2017版》规定:公众移动网电话号码为11位,物联网网号为13位。从理论上讲,11位数有1000亿个。 01...

  • Xss之Flash钓鱼

    googxxoogoogxxoo 2020-04-29

    相信很多朋友都看过Xss 弹出Flash更新进行钓鱼的文章但大多文章都是一句话概括,故此写一篇关于这方面的文章剧情:某日xxx黑客,发现某网站存在Xss漏洞,但是有httponly,xxx黑客就想利用Xss进行钓鱼,如果只是钓到账号密码,可以去伪造登录页面,提示登录超时,这里以拿到权限为主。先说一下Flash源码(末尾有相关工具+源码下载地址)我已经修改为和...

  • 『流量分析溯源』有人删除了数据库中的登录记录,找到攻击者境内的IP地址。

    googxxoogoogxxoo 2020-04-13

    前言题目地址:https://www.mozhe.cn/bug/detail/NDU3RnFGTitFdUlaOXNlNFp6QzUydz09bW96aGUmozhe背景介绍:某公司安全工程师抓取到一段Wireshark数据包,发现有人删除了数据库中的登录记录,找到攻击者境内的IP地址。使用工具:WireSharkWireShark流量分析首先打开 23.p...

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.