登陆 注册
  • “裸聊勒索”防不胜防的桃色陷阱

    LzersLzers 2020-05-27

    细数近几年网络勒索,最为热门的非裸聊莫属。通过搜索引擎查看,随便一搜全是诈骗总结构图与软件图由安全客通过图片可以很清晰的看出整个流程,诈骗者通过购买裸聊勒索程序(取通讯录联系人发送至网站后台)并诱导受害者打开软件。软件如下图所示(自行搭建的测试平台)打开软件后手机通讯录/短信/定位将自动发送至接收平台后台如图可以很清晰的看到我的通讯录内联系人信息,同时不超过...

  • 我攻破了LOL钓鱼网站后台,查清背后的盗号黑色产业链。

    googxxoogoogxxoo 2020-05-27

    大好,我是田浩。2020年5月14日,我刚注册公众号没多久,有个叫方子的男生发私信给我。说英雄联盟准备出手游,但内测资格一直没公开,有骗子利用这个机会,伪造官方给用户发送带有钓鱼链接的邮件来盗号。方子就是其中一个受害者,除了他,我也去了英雄联盟的贴吧看了下,确实有很多人收到了这类邮件。由于反馈这事的人比较多,加上我平常也玩LOL,所以整理了下线索,开整。1目...

  • APP渗透|看我如何在APP中getshell

    安云安云 2020-05-27

    前言说起APP上的渗透测试,很多朋友在拿到一个APP的时候,往往会将客户端的检测与服务端的检测分得很开,越来越多的测试人员客户端检测仅仅局限于静态工具扫描,不注重客户端审计与服务端渗透的结合,以至于APP的安全审计报告中服务端的漏洞占比较少。我们接下来会通过一次网安渗透测试项目,来跟大家聊聊怎么样通过APP与服务端的结合,getshell。希望通过这个案例,...

  • 【安全圈】泰国最大移动运营商泄露83亿条用户数据记录

    LzersLzers 2020-05-27

    研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问,数据库包含大约 83 亿记录,容量约为 4.7 TB,每 24 小时增加 2 亿记录。AIS 是泰国最大的 GSM 移动运营商,用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wirele...

  • 为了杀毒格式化服务器,结果把数据库删没了!

    LzersLzers 2020-05-27

    本次被格数据库的公司叫杭州臣工环保科技有限公司(以下简称臣工)是一家专业从事新风净化智能硬件设备研发、生产与销售的企业。被委托的公司是广州机智云物联网科技有限公司(以下简称机智云)和杭州鸿鹄电子有限公司(以下简称鸿鹄)。因业务发展需要臣工和机智云两家公司在2017年6月29日签订了合作协议。事情的大概流程是:签订协议之后机智云应臣工要求研发了“新风系统”软件...

  • DNSLOG平台搭建从0到1

    作者:saltor1 前言DNSLOG是一种回显机制,常用于在某些漏洞无法回显但可以发起DNS请求的情况下,利用此方式外带数据,以解决某些漏洞由于无回显而难以利用的问题。主要利用场景有SQL盲注、无回显的命令执行、无回显的SSRF。本文介绍一种搭建DNSLOG平台的方法,旨在为渗透测试提供一些帮助。2 前期准备一个域名,一台vps本文使用的是:阿里云购买的域...

  • 中国黑客群体的真实收入

    易酒辰易酒辰 2020-05-25

    文章来源于黑白之道从圈外认知来说,黑客一直被认为是高收入群体,黑客有白帽和黑帽处于黑白两道的黑客会的技术都有些相似,但是却是对立的,白帽做网络安全,修补漏洞。黑帽各种破坏,挖数据,攻击漏洞。可能很多人都会觉得黑帽黑客会赚的非常多,让我们一起看看吧。一个黑客年薪是多少呢?以下数据来源上万名相关从业者的问卷统计,不分黑白帽,数据仅供参考,不排除有人调皮乱填。白帽...

  • 干货 | Linux系统行为新型实时监控技术

      作者:王建荣       万物互联和大数据技术的发展,让我们的生活更加活色生香,其背后离不开安全、稳定可靠的服务器系统。       为了保障服务器系统资源能被用户正常使用,避免被恶意行为劫持,我们需要记录服务器系统资源的使用情况、系统行为事件信息和I/O...

  • 复杂风控场景下,如何打造一款高效的规则引擎

    BY残年BY残年 2020-05-17

    | 在互联网时代,安全已经成为企业的命脉。美团信息安全团队需要采用各种措施和手段来保障业务安全,从而确保美团平台上的用户和商户利益不会受到侵害。本文主要介绍了美团在打造自有规则引擎Zeus(中文名“宙斯”)的过程中,信息安全团队遇到的挑战以及对应的解决方案,并分享了很多踩过的坑,同时还有一些思考和总结。希望对从事安全领域相关工作的同学能够有所启发或...

  • SSRF攻击姿势汇总

    BY残年BY残年 2020-05-17

    前言这是很早就整理的笔记,今天想起来发到博客上,还是要保持写文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request smuggle、SSO任意跳转,Url解析不一致导致的安全问题。一方面由衷地佩服演讲人的脑洞和安全功底,另外一方面又在笔者又在反思,如果是我,我会怎么去发现此类漏洞,解决方案又是什么。本文不同于各...

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.