记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

opensns前台无限制Getshell

public function uploadPictureBase64() { $aData = $_POST['data']; if ($aData == '' || $aData == 'undefined') { $this->ajaxReturn(array('status'=>0,'info'=>'²ÎÊý´íÎó')); } if (preg_match('/^(data:*image/(+);base64,)/', $aData, $result)) { $base64_body = substr(strstr($aData, ','
发布时间:2016-07-23 12:10 | 阅读:182 | 评论:0 | 标签:PHP getshell opensns

opensns最新版前台无限制注入(无需登录无视GPC)

漏洞触发点在/Application/People/Controller/IndexController.class.php中第48行: public function area() { $map = $this->setMap(); $arearank = I('get.arearank', 0); $arealv = I('get.arealv'); $areaname = I('get.areaname'); if ($arearank == null || $arearank == 0) { $map['pos_province'] =array
发布时间:2016-07-23 12:10 | 阅读:253 | 评论:0 | 标签:PHP opensns 注入

乌云平台"升级"无法访问 或受"白帽子"被捕影响

昨天,国内知名漏洞报告平台乌云出现了无法访问的情况,乌云方面称是业务升级的原因。不过也有传言称,乌云平台关停是受到了不久前“白帽子”袁炜被捕事件的影响,甚至乌云的高管也被有关部门约谈。   事件   平台暂停服务引发传言   乌云是国内影响最大的漏洞提交平台之一,为数众多的白帽子(寻找计算机或网络系统中的漏洞,但不进行恶意利用的电脑高手)在乌云上发布自己发现的企业和网站的漏洞,促使相关企业和网站封堵漏洞。不过昨天开始,有人发现乌云平台无法访问了。随后,乌云网页发出了一篇公告称,“乌云及相关服务将进行升级,我们将在最短的时间内,以最好的姿态回归。”将停止服务的原因解释为业务升级。  无独有偶,人们发现,除了乌云之外,另外一家漏洞平台漏洞盒子也在19日发布了一份公告,表示:“近期漏洞盒子管理团队将对漏洞盒子网站平
发布时间:2016-07-23 07:50 | 阅读:142 | 评论:0 | 标签:无

VirLock敲诈者新变种分析及解密方法

VirLock敲诈者新变种分析及解密方法 2016-07-22 15:54:53 来源:360安全播报 作者:360安全卫士 阅读:2054次 点赞(0) 收藏 分享到: 前言2016年6月开始,360安全中心发现Vi
发布时间:2016-07-23 02:55 | 阅读:336 | 评论:0 | 标签:无

网络安全意识大潮涌来 你准备好了吗?

2014年首届国家网络安全宣传周,标志着国家层面已经正式开始积极开展网络安全意识的普及工作。今年6月,经中央网络安全和信息化领导小组批准,中央网信办、教育部、工业和信息化部、公安部、国家新闻出版广电总局、共青团中央等六部门联合发布《关于印发〈国家网络安全宣传周活动方案〉的通知》,决定统一于每年9月第三周举办国家网络安全宣传周活动,网络安全意识教育活动的大潮正在涌来。但实际上,国内网络安全意识工作目前还处于不被广大企业真正理解的阶段,很多企业对网络安全意识工作的认识并不准确。一、企业网络安全意识教育市场强劲增长尽管网络安全意识未被企业广泛理解,但近年来网络安全意识教育市场却在稳步、持续的增长。据Gartner去年8月的统计,2014年全球网络安全意识教育市场已经超过10亿美金,并将每年至少增长13%以上。人,永远
发布时间:2016-07-23 01:45 | 阅读:235 | 评论:0 | 标签:活动集中营 网络安全意识 网络安全教育手册

企业与黑客攻击 就是一场军备竞赛

破坏总是比建设容易,伤害必然比愈合简单。攻击者潜入地下小心准确地突破企业防线,扎根数据存储不断吸取重要信息,获取巨大经济利益,也总是比企业构筑防线要容易得多。企业与网络罪犯之间拼的就是军备。就算不妄想扭转局势占据上风,仅仅维持现状,公司就必须时常构筑防线。通过分析深网、驻留时间,以及二者在网络安全势力平衡中的角色,可以得出:想要更好地武装企业人员,可以采取雇用黑客和提升员工社工/网络钓鱼培训有效性等防御行动。一、深网黑暗面出于安全或隐私等多种原因,深网站点主人不在目录和搜索引擎里索引他们的网页属性。深网论坛的犯罪黑客也规避网页爬虫机器人以最小化人们对他们不法行动的感知。(人们通常会把深网的这个部分与常被称作暗网的地下网络相混淆。)犯罪黑客使用深网进行隐秘会谈喝防御性恶意软件的交易。“他们在深网上通过网络协议加密
发布时间:2016-07-23 01:45 | 阅读:206 | 评论:0 | 标签:牛闻牛评 深网 零日 黑客工具包

勒索软件可能已被“终极”解决

Crypto Drop尝试寻找文件被加密的蛛丝马迹来自福罗里达州立大学和维拉诺瓦大学的研究人员认为可以通过监控其对目标文件的操作来制止恶意软件。通过一种“能救多少救多少”的方法,研究人员发布的论文表明,在测试环境下,仅在勒索软件加密了全部文件的0.2%时就能够进行防护,减少其造成的破坏。该论文将恶意软件正在违背用户意愿,对文件进行加密的观测指标列为以下三个:大量改动文件类型不相似性:被加密的文件看上去一点也不像明文。当然,也这是所有加密行为的特征热熵:加密行为将会显著增大设备散热口的热排放当然,也有一些次要指标,来对以上的三个主要指标进行弥补,比如大量删除文件,文件类型单一化(恶意软件会将所有文件都变成同一个文件类型)为了支持第二个主指标,即不相似性,研究人员使用了一种被称为sdhash的工具,它能够监测两个文
发布时间:2016-07-23 01:45 | 阅读:178 | 评论:0 | 标签:术有专攻 Crypto Drop 恶意软件

安全课堂:ISO 20000 标准解读

何为 ISO/IEC 20000?由于组织对服务支持的日益依赖,以及技术多样性的现状,服务提供方有可能通过努力保持客户服务的高水准。服务供应方往往被动工作,很少花时间规划、培训、检查、调查并与客户一同工作,其结果必然导致失败。其失败就源于没有采用系统、主动的工作方式。服务供应商也常常被要求提高服务质量,降低成本、采用更大灵活性和更快反应速度,有效的服务管理能提供高水准的客户服务并获得较高的客户满意度。ISO/IEC 20000 源自于BS 15000 标准,而BS15000 是英国标准协会(British Standards Institute)针对IT服务管理而制定的一个标准,最早始于1995年,后来几经改版,成为了目前由两部分内容构成ISO20000信息技术服务管理标准,并且被IT服务管理广泛接受的标准。I
发布时间:2016-07-23 01:45 | 阅读:201 | 评论:0 | 标签:活动集中营 BS 15000 标 IEC 20000

全国高校网安联赛X-NUCA邀您报名参赛

网络安全是国家安全的重要一环!各行各业对网络安全的需求日益增长,建设网络强国事业离不开网安人才。目前,我国网安人才严重空缺已是不争的事实。 作为人才输出的排头兵,学校肩负着网络安全人才培养的重任。面对网络安全技术与应用领域的快速更迭,面对层出不穷的安全风险,面对对抗日益激烈的网络攻击与防护,社会对网安技术人才的要求更加严苛。   为加强网络安全学院学科专业建设和人才培养,经中央网络安全和信息化领导小组同意,中央网信办、发改委、教育部、科技部、工信部和人社部六部门近日联合印发《关于加强网络安全学科建设和人才培养的意见》,要求在已设立网络空间安全一级学科的基础上,加强学科专业建设,完善本专科、研究生教育和在职培训网络安全人才培养体系。通过国家政策引导,发挥各方面积极性,利用好国内外资源,聘请优秀教师,吸收
发布时间:2016-07-23 01:15 | 阅读:133 | 评论:0 | 标签:CTF X-NUCA 合天智汇信息技术

7月22日-每日安全知识热点

7月22日-每日安全知识热点 2016-07-22 10:34:45 作者:360安全播报 阅读:2183次 点赞(0) 收藏 分享到: 新鲜资讯,权威技术文章早抵达。今日热点中您感兴趣的内容请及时联系我们,360安
发布时间:2016-07-22 19:25 | 阅读:328 | 评论:0 | 标签:无

史上最详细ISC安全训练营介绍:课程、讲师通通到碗里来

史上最详细ISC安全训练营介绍:课程、讲师通通到碗里来 2016-07-22 10:58:36 作者:360安全播报 阅读:7458次 点赞(0) 收藏 分享到: 安全训练营,中国顶级信息安全专家交流平台31位世界级
发布时间:2016-07-22 19:25 | 阅读:140 | 评论:0 | 标签:无

黑客军团[MR.ROBOT]第二季良心剧透:剧情中的黑客元素

黑客军团[MR.ROBOT]第二季良心剧透:剧情中的黑客元素 2016-07-22 14:27:39 作者:mpk_no1 阅读:1599次 点赞(0) 收藏 分享到: 对于工作在IT安全方面的人来说,去年的一个惊喜
发布时间:2016-07-22 19:25 | 阅读:301 | 评论:0 | 标签:无

对一次网络钓鱼攻击的逆向分析

作为最近的一项研究,我们首先发现了两个钓鱼攻击域名,而在这两个域名之后是更多的域名,这些域名已经成功地攻击了超过1000多名用户,这项钓鱼攻击主要针对的是AOL、雅虎、LinkedIn等网站的用户。1、钓鱼网站对应的域名信息我们碰到的第一个域名为:f4hkn8ty1jety7sysf4hkn8ty.com,像是“猫步”域名——就是猫随意地再键盘上走动产生的域名。 图1 “猫步“域名的由来 然而这个域名是用来对AOL用户进行网络钓鱼的: 图2  AOL 钓鱼页面 但是,有趣的是,攻击者非常“善良”,虽然显示了钓鱼页面,但却没禁用其钓鱼网站的目录列表,在网站的根目录里竟然保存着受害者的明文凭据信息: 图3&
发布时间:2016-07-22 18:35 | 阅读:137 | 评论:0 | 标签:WEB安全 Suzy 猫步域名 钓鱼

一款能把你的摄像头连上暗网的Mac恶意软件

一款名为Backdoor.MAC.Eleanor的恶意软件悄然植入到了虚假软件EasyDoc Coverter.app中,并且将你的摄像头暴露在暗网中。Palo Alto Networks最近报道了第一款Mac平台勒索软件后,而比特梵德的研究人员最近又发现了第二款恶意软件。这款恶意软件被命名为Backdoor.MAC.Eleanor或者OSX/Eleanor-A,这个病毒伪装成无害的文件转换程序,出现在很多值得信赖的下载网站上。比特梵德实验室在他们的报告中解释称,这款恶意软件伪装成EasyDoc Coverter.app。而软件本身没有任何功能,只有一个拖拽功能来伪装实现简单的文件转换。在这伪装的程序下面是一个能够窃取数据、执行恶意代码甚至控制用户摄像头的恶意软件。“这个后门文件被植入到了
发布时间:2016-07-22 18:35 | 阅读:339 | 评论:0 | 标签:终端安全 Eleanor mac

Python渗透测试框架:PytheM

PytheM是一个Python渗透测试框架。它只能在osnGNU/Linux OS系统上运行。安装$sudo apt-get update$sudo apt-get install libasound-dev libjack-jackd2-dev portaudio19-dev python-pyaudio build-essential python-dev libnetfilter-queue-dev libespeak1 libffi-dev libssl-dev$sudo git clone https://github.com/m4n3dw0lf/PytheM/$cd PytheM$sudo pip install -r requirements.txt运行$sudo ./pyt
发布时间:2016-07-22 18:35 | 阅读:217 | 评论:0 | 标签:工具 pythem

论如何在内网中自由渗透

能够成功地通过web漏洞获取到webshell,对于一次完整的渗透测试来说,仅仅相当于万里长征的第一步。这么说,可能比较夸张吧,并不是所有渗透测试都会遇到几百台机器的大内网。在PTES(渗透测试执行标准)中,把渗透测试分成了七个主要的过程,也就是说现在通常说的前期交互、目标识别、信息收集、漏洞分析、漏洞利用、后渗透测试、报告编制这七大步骤。如果你看过PTES标准,你应该会跟我有一样的感觉,后渗透测试部分的内容,几乎等于其他六个部分的总和。当然,也只是在系统规模达到一定程度的时候,才会明显的感觉出来。小生虽然离开了安全工程师的岗位,还是偶尔会遇到小年轻们拿到shell之后就不知道该干嘛了。写了个报告交给客户,草草结束了一个项目(这也是目前渗透测试服务的一个弊病,大部分的渗透测试都以Getshell为主要指标,能g
发布时间:2016-07-22 18:05 | 阅读:182 | 评论:0 | 标签:无

公告

❤ 关注Hackdig微博,点击下方按钮⇩
关注Hackdig微信,学习技术更方便

工具

推而广之

标签云

友情链接