WooYun-Drops 利用反射型XSS二次注入绕过CSP form-action限制 – c http://drops.wooyun.org/tips/14686 翻译: SecurityToolkit 0x01 简单介绍 CSP(Content-Security-Policy)是为了缓解XS... 09月24日 830 次浏览 发表评论 阅读全文
WooYun-Drops 利用基于 NTP 的 TOTP 算法缺陷绕过 WordPress 登陆验 http://drops.wooyun.org/papers/10511 近日,国外安全研究人员 Gabor 发表了两篇关于如何利用基于 NTP (Network Time Protocol)的验证算... 09月24日 1,063 次浏览 发表评论 阅读全文
WooYun-Drops 从客户端游戏漏洞看开发中的安全隐患 – 毕月乌 http://drops.wooyun.org/papers/6238 0x00 前言 虽然现在的应用开发越来越趋向于web应用,大型软件也大量使用了现有的框架,随着现有框架和引擎的完善,绝大多数安全... 09月24日 817 次浏览 发表评论 阅读全文
WooYun-Drops 从异常挖掘到CC攻击地下黑客团伙 – 百度安全攻防 http://drops.wooyun.org/papers/10656 Author: 百度云安全天网团队 百度安全攻防实验室 百度云安全云端防护团队 0x00 异常挖掘与回溯 11月13日,百度云... 09月24日 949 次浏览 发表评论 阅读全文
从技术角度深入剖析:改号软件,电话号码任意 http://drops.wooyun.org/tips/342 这是去年写的一篇文章http://lcx.cc/?i=2484,转过来了,如有不妥,还请指正。 刚才看到乌云有人发帖问:网上流传的修改... 09月24日 WooYun-Drops 867 次浏览 发表评论 阅读全文
WooYun-Drops 从果粉到黑吃黑:一个论坛挂马的奇异反转 – 3 http://drops.wooyun.org/news/15451 0x00 前言 继上个星期国内知名果粉社区威锋网(上周事件一出,威锋网已修复)遭黑客挂马事件后,360安全卫士再度发现该黑客还在其... 09月24日 859 次浏览 发表评论 阅读全文
WooYun-Drops 从活动目录获取域管理员权限的各种姿势 – 修码 http://drops.wooyun.org/tips/12021 Author:Sean Metcalf From: Attack Methods for Gaining Domain Admin... 09月24日 758 次浏览 发表评论 阅读全文
WooYun-Drops 代码审计之逻辑上传漏洞挖掘 – felixk3y http://drops.wooyun.org/papers/1957 0x00 前言 话说一个人的快乐,两个人分享就成为两份快乐,这个我看未必吧,倘若分享与被分享的两者之间是情敌关系,而分享者快乐的... 09月24日 842 次浏览 发表评论 阅读全文
WooYun-Drops 代码审计入门总结 – sixwhale http://drops.wooyun.org/tips/12751 0x00 简介 之前看了seay写的PHP代码审计的书,全部浏览了一遍,作为一个代码审计小白,希望向一些和我一样的小白的人提供一下... 09月24日 810 次浏览 发表评论 阅读全文
WooYun-Drops 令牌的故事(CVE-2015-0002) – cssembly http://drops.wooyun.org/papers/5037 0x00 前言 这是James Forshaw发表在Project Zero上的文章,主要讲了CVE-2015-0002的原理,... 09月24日 778 次浏览 发表评论 阅读全文