貌似大多数渗透师都很少测试密码学方面的漏洞。我一直都对密码学颇有兴趣,于是决定研究web应用开发者误用加密算法的情况,以及如何利用这些漏洞。 一月份的时候,我研究了下对于一些比较弱的Message A...
LTE小区搜索软件LTE-Cell-Scanner加入对HackRF的支持
LTE-Cell-Scanner的TDD功能支持作者jxj目前完成了该软件对于HackRF的支持。据作者说,HackRF的接收性能明显比rtl-sdr好不少。后续我们会和jxj整理进一步的技术细节文章...
某些浏览器中因cookie设置HttpOnly标志引起的安全问题
1、简介 如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因。但这种方式能防住攻击者吗?HttpOnly标志可以...
网络安全
浅析白盒审计中的字符编码及SQL注入
尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如g...
网络安全
技术宅打造全能美剧播放器
1:前言 看到有同仁发《权力的游戏》自动追剧脚本,老衲也来凑个热闹… 移动端最好的播放器非云播君莫属了,极速而方便,高清而无码,可惜最近资源被和谐,每次有美剧更新需要用浏览器手工添加播放源...
网络安全
判断是否支持Heartbeat的NSE脚本
服务端支持heartbeat是存在heartbleed漏洞的必要条件,如果判断出某SSL端口不支持heartbeat,那基本上就可以排除风险了。 在SSL握手阶段,如果Client Hello里声明了...
比想象中更恐怖!OpenSSL“心血”漏洞深入分析
作者: yaoxi 原文出处 http://blog.wangzhan.360.cn/ 近日,OpenSSL爆出本年度最严重的安全漏洞,此漏洞在黑客社区中被命名为“心脏出血”漏洞。360网站...
网络安全
论技术宅如何正确的追《权力的游戏》
最近,Game of thrones Season4(权力的游戏)上映了,作为忠实的粉丝,刷了一上午的人人影视啊,我心爱的丹妮丽思。坑爹的HBO一周才更新一次,还尼玛北京时间是周一上午,放在周末让小伙...
移动安全
Android锁屏破解研究
说明: 本文章由中国红客联盟(cnhonker)攻防区版主:b41k3r 和 论坛会员:冷爱 两人合作所写,经两人同意由我发送到FreeBuf,感谢FreeBuf给我们提供一个良好的交流环境。此文章为...
OpenSSL HeartBleed漏洞批量检测工具
我只是一个路人,之前也是拿来主义,但是这次想自立更生却发现再造轮子的困难。于是在 Jared Stafford 的ssltest.py上面做了修改,使其可以自己爬Google,但是由于水平有限,加上第...
