背景DOM型XSS(跨站脚本)漏洞一般较难于发现,本文中作者使用Dominator来发现并利用一个诺基亚(Nokia)OVI官网的DOMXSS,这让我想起了二哥的那个神器:)简述去年,作者发现并报告了...
WEB安全
WEB安全
网络安全
如何在渗透测试中利用BASH和DNS下载数据
在渗透测试过程中,拿到服务器权限之后从服务器下载数据是一件比较费劲的事情,因为服务器一般都有防火墙在前面挡着。防火墙一般都会禁止服务器对外建立连接,这种情况下使用DNS来下载数据是一种行之有效的方法,...
移动安全
对时下流行的Android应用加固技术分析
我是一名奋战在安全第一线的程序猿,爱好和平,爱好打包不平,FreedomForever!最近移动安全太火,火的我都忍不住玩了一把,最近几个月在研究各家的安全加固方案,大多dex加密、反调试等技术,玩着...
移动安全
使用调试器对安卓APP进行安全测试
在这篇博文中,我将带领大家学习如何将调试器应用到一个Android应用程序上,并利用第一次反编译得到的信息来分析应用的方法调用过程。比较独特的一点是,本方法并不需要获取安卓设备的root权限。 该方法...
移动安全
研究人员发现一种利用Siri窃取苹果iPhone/iPad数据
研究人员最近发现一种屌炸天的攻击方法:利用苹果iOS语音服务Siri,结合信号处理中的隐写术原理,可以从越狱的iPhone和iPad中悄悄窃取数据并上传到远程服务器。 意大利国家研究委员会的LucaC...
网络安全
对抗机器人:打造前后端结合的WAF(应用层防火墙)
前言 之前介绍了一些前后端结合的中间人攻击方案。由于Web程序的特殊性,前端脚本的参与能大幅弥补后端的不足,从而达到传统难以实现的效果。 攻防本为一体,既然能用于攻击,类似的思路同样也可用于防...
神兵利刃
Metasploit渗透技巧:后渗透Meterpreter代理
前言 Metasploit是一个免费的、可下载的渗透测试框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击测试。它本身附带数百个已知软件漏洞的专业级漏洞攻击测试工具。 当H.D.Moore在...
神兵利刃
新版中国菜刀(20141213)一句话不支持phpassert分析
前几天下了新版的菜刀,今天发现一个php一句话连不上,但是旧版的菜刀可以连,而且新版是可以连接eval的php一句话。当时挺好奇,排除了非菜刀造成的可能性,就只能是菜刀更新的问题,所以接下来要做的就是...
移动安全
从APK解密到批量获取他人信息
0×00.背景 APK是AndroidPackage的缩写,即Android安装包(apk)。APK是类似SymbianSis或Sisx的文件格式。通过将APK文件直接传到Android模...
WEB安全
破解之美:利用ECB加密缺陷突破cookie加密
密码学诞生于古人类社会,例如古希腊斯巴达的密码棒、欧洲中世纪时期的密码栏、阿伯提发明的密码盘等。古代的密码学是一门加密隐蔽的学科,而现代密码学定义为加密与解密,研究在分组密码与流密码及其应用。一直以来...
