登陆 注册
  • 如果网站的 Cookie 特别多特别大,会发生什么情况?

    BY残年BY残年 2020-05-17

    有没有想过,如果网站的 Cookie 特别多特别大,会发生什么情况?不多说,马上来试验一下:for (i = 0; i < 20; i++)    document.cookie = i + '=...

  • 已知邮箱,求手机号码?

    googxxoogoogxxoo 2020-05-12

    ( 本文中出现的所有数据均为虚构,如有雷同纯属巧合。)个人隐私泄漏越来越严重。个人基本信息的重要程度大致排序如下图,最右为最高。已知某人邮箱为zhangsanXXX@sohu.com,如何找到他的手机号码?解:工信部《电信网编号计划2017版》规定:公众移动网电话号码为11位,物联网网号为13位。从理论上讲,11位数有1000亿个。 01...

  • 哆啦靶场XSS挑战赛1-10关攻略

    LzersLzers 2020-05-06

    哆啦集成了网络上常见的靶场与GitHub上比较好的靶场系统,配合一键启动模式,省去你去收集再进行搭建的时间,方便你更加快速的学习信息安全。该靶场已经正式开源,黑白网去除登录限制重构靶场环境,bachang.heibai.org正文部分XSS挑战赛第一关F12查看了源码发现并没有任何过滤,<script>alert(1)</script>...

  • 应急响应之CC攻击事件

    BY残年BY残年 2020-05-06

    CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库压力就越大,被访问的频率也越高,占用的系统资源也就相当可观。 一,定义       CC(ChallengeCollapsar,挑战黑洞)攻击是DDo...

  • Xss之Flash钓鱼

    googxxoogoogxxoo 2020-04-29

    相信很多朋友都看过Xss 弹出Flash更新进行钓鱼的文章但大多文章都是一句话概括,故此写一篇关于这方面的文章剧情:某日xxx黑客,发现某网站存在Xss漏洞,但是有httponly,xxx黑客就想利用Xss进行钓鱼,如果只是钓到账号密码,可以去伪造登录页面,提示登录超时,这里以拿到权限为主。先说一下Flash源码(末尾有相关工具+源码下载地址)我已经修改为和...

  • 记一次对PUBG外挂病毒的反制过程

    lyly 2020-04-28

    一、事件前言这事还要从一只蝙蝠开始说起………..疫情的原因在家闲的翻箱倒柜,翻出了这么个玩意,没错这就是“压qiang神器”想当初我把把落地成盒又在某宝铺天盖地的推送下,忍痛割爱花了百来块钱买了这神器。买回来后开始后悔了,经过简单的观察分析此USB的行为,并非啥智能压qiang芯片,实际上就是一个软件加密狗的USB加密了商家给发的无后坐软件,通过对某宝搜索加...

  • 短信身份验证的安全风险

    Hacker毒皇Hacker毒皇 2020-04-28

    前言前些日子在h1溜达的时候发现时看到国外的一位师傅对短信身份验证的安全风险,进行了总结,我将其翻译过来并结合自己以往的一些测试经验进行补充。涉及到的安全风险账户接管这个是短信身份验证最严重的安全风险,攻击者可以窃取任意用户的账户,甚至是事先不知道用户的手机号码用户模拟与上面的类似,但是这个的风险取决于具体的服务。通常,如果可以进行模拟,由于确认机制相同,因...

  • 通达OA < 11.5任意用户登录漏洞分析

    易酒辰易酒辰 2020-04-28

    背景近期,安恒Zionlab团队通过监控发现通达OA官网于2020年04月17日发布了最新11.5版本。产品更新说明中只提示修复了已知的若干问题,但经过团队成员补丁对比之后,发现官方修复了一处任意用户登录漏洞。漏洞危害未经授权的攻击者可以通过构造进行任意用户登录(包括admin),登录之后可进一步上传恶意文件控制网站服务器。影响范围通达OA < 11....

  • 浅析HTTP走私攻击

      作者:锦行科技-安全平台部 Ink23y  如今攻击手段日益层出不穷,令企业防不胜防,因此企业不能再以原有的防守思维去防守。基于攻击者的视角,了解攻击者的攻击手法才能更好地做好防守。本次介绍的是攻击者常用的一种攻击手法"HTTP请求走私",它可以使攻击者能够绕过安全控制,未经授权访问敏感数据并直接危害其他应用程序用户。本文由锦行科技的...

  • 从攻击者角度解读防护思路

    CDL路飞CDL路飞 2020-04-20

    最近圈内关于红蓝对抗,安全防护服务的讨论很热烈,原因相信大家都是很清楚的。目前来看,很多企事业单位对“安全之痛”还缺乏体会,国内安全防护水平的发展很大程度上仍然需要监管部门来推动。最近很多文章都在强调攻击能力的重要性,由于我本人长年从事安全防护产品研究和安全防护工作,所以本文将从攻击能力服务促进安全体系改进提升的角度进行探讨。随着各企业对安全防护的重视不断加...

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.