记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

《Web安全》在线入门学习

在极客学院上线了一个《Web安全》的课程,第一课程已经上线了,课程地址:http://www.jikexueyuan.com/course/885.html?hmsr=teacher_fooying_c885另外,对于课程内容,其实挺纠结的,一直没达到自己想要的效果,讲深了,怕听不懂,讲浅了又估计被同行业的小伙伴们吐槽,而且一些好玩的东西都是涵盖比较多的知识点,不是一两个知识点可以讲清楚的,没想到好的方式来处理,求支招。另外就是我的福建普通话,话说整个录制,最难克服的就这个问题了。。。相对好了点,但是估计很多还是不准,大家多见谅。大家想我从什么方式去讲,可以支招,改进后续课程!
发布时间:2015-05-14 11:10 | 阅读:113099 | 评论:0 | 标签:安全科普

文科生都能看懂的 Wi-Fi 安全攻略

在刚过去的 315 晚会上,Wi-Fi 安全问题被推到公众面前。作为一个消费者,我们应该怎样避免进入这个危险状况呢?以下是知道创宇的技术 VP 余弦在近年来作出的解答汇总。 原文 | 余弦 Wi-Fi 里的猫腻   此刻,看我文章的你,Wi-Fi 信号如「摄魂怪」般地在你身体内肆无忌惮地穿梭着,这些信号分布在一些特定的频段上,信号加密传输着,除了「法拉第笼」,没什么能阻止这些信号扩散着,功率大小仅能影响信号的传播距离。 你把你的一切隐私都交给了这个该死的路由器,而路由器厂商从设计之初就忽略了安全性,全球已知的路由器漏洞都可以在这找到: http://routerpwn.com 可还有许多未知的漏洞,地下流传的、未被挖掘的…… 在许多黑客眼里,隐私已经是一种疲劳。 但在我眼里,如果我拥有这种隐私大
发布时间:2015-03-17 17:40 | 阅读:105032 | 评论:0 | 标签:安全科普 技术分享 Wi-Fi 安全

众测之sobug的体验

如果觉得文章排版有点乱可以看这里:http://mp.weixin.qq.com/s?__biz=MzA4NzM5MTUzOQ==&mid=200791695&idx=1&sn=5af0d0d504b2306e2b4b44ab2065d01b#rd最近比较忙,每天差不多2、3点才睡觉,除了工作的事,还在整理自己的一些东西,包括一些想法、网站以及自己的知识点,不过还是抽出一些时间体验并且真正的以白帽子的身份参加了下sobug众测的两个项目,今天来跟大家聊聊。(如果不懂众测是什么的同学可以先百度了解下) 真正认识冷总应该在今年参加syscan360会议的那会,冷总加了我微信,然后本来要准备见面聊聊天,前后两三次都不正好,没聊成,不过syscan360当天晚上微信上与冷总聊了众测以及
发布时间:2014-09-04 07:50 | 阅读:121934 | 评论:0 | 标签:安全科普 思想碎片 360刃甲 sobug wooyun众测 众测 威客众测 安全众测平台 漏洞盒子

最近移动安全三两事

中秋马上到了,先预祝大家中秋快乐。估计这两天大家都在求视频和照片的下载地址,源于好莱坞艳照门事件。 今天一则近百名好莱坞女星 iCloud 账户遭黑客攻击导致裸照泄露的新闻将 iCloud 的安全推倒风口浪尖,其中泄露的女明星包括 Jennifer Lawrence(詹妮弗·劳伦斯)、Kirsten Dunst(克里斯丁·邓斯特)、Jennifer Lopez(珍妮弗·洛佩兹)、歌手Rihanna(蕾哈娜)、Scarlett Johansson(斯嘉丽·约翰逊)等等。 相信很多同学已经看过这些照片和视频了,我就不多加介绍了,然后大家也别求种子啥的,这个肯定是木有的(/抠鼻)。又是一件与个人隐私安全密切相关的事件,事件我就变多介绍了,来谈谈事件背后的漏洞,缘于苹果官方对于iCloud帐户的暴力
发布时间:2014-09-03 01:05 | 阅读:76481 | 评论:0 | 标签:安全研究 安全科普 漏洞分析

通用跨站脚本攻击(UXSS)

有同学问,用百度搜索了下,发现国内相关介绍基本是没有,就写篇文章来介绍下。不过看到有现成的介绍,就拿来翻译修改下。本文的内容主要翻译来自该文章,把一些没必要的话给删了,做了一些整理修改,然后补充一些案例。http://www.acunetix.com/blog/web-security-zone/universal-cross-site-scripting-uxss/ 什么是UXSS?大家都知道有反射型XSS、存储型XSS、DomXSS,还有之前wooyun知识库上由gainover翻译的mXSS,也就是突变XSS(文章地址http://drops.wooyun.org/tips/956)。可能比较少同学了解何谓UXSS,UXSS全称Universal Cross-Site Scripting,翻译过
发布时间:2014-09-02 17:25 | 阅读:134233 | 评论:0 | 标签:安全研究 安全科普 Universal XSS UXSS 通用跨站脚本攻击 xss 跨站

安全科普:SQLi Labs 指南 Part 1

译者:SQL Libs一直也没看到有人写过比较完整的指南,只有作者在自己的博客上帖了一些tip和一些视频,偶然看到一篇文章在写这个,便拿过来翻一下,以作参考,原文较长,分成几个部分。简介结构化查询语言,也叫做SQL,从根本上说是一种处理数据库的编程语言。对于初学者,数据库仅仅是在客户端和服务端进行数据存储。SQL通过结构化查询,关系,面向对象编程等等来管理数据库。编程极客们总是搞出许多这样类型的软件,像MySQL,MS SQL ,Oracle以及Postgresql。现在有一些程序能让我们有能力通过结构化查询来管理大型数据库。脚本小子们一定已经动手体验了类似SQL注入等这样的操作,虽然他们可能已经通过使用自动化工具例如SQL Map或者SQLNinja来实施攻击,但却还不知它真正的原理。在这篇简
发布时间:2014-05-22 15:25 | 阅读:101490 | 评论:0 | 标签:WEB安全 SQL注入 安全科普

安全科普:详解流量劫持的形成原因

流量劫持,这种古老的攻击沉寂了一段时间后,最近又开始闹的沸沸扬扬。众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道。只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改。互联网一夜间变得岌岌可危。攻击还是那几种攻击,报道仍是那千篇一律的砖家提醒,以至于大家都麻木了。早已见惯运营商的各种劫持,频繁的广告弹窗,大家也无可奈何。这么多年也没出现过什么损失,也就睁只眼闭只眼。事实上,仅仅被运营商劫持算是比较幸运了。相比隐匿在暗中的神秘黑客,运营商作为公众企业还是得守法的,广告劫持虽无节操但还是有底线的。这不,能让你看见广告了,也算是在提醒你,当前网络存在被劫持的风险,得留点神;相反,一切看似风平浪静毫无异常,或许已有一个天大的间谍潜伏在网络里,随时等你上钩 —— 这可不是弹
发布时间:2014-04-16 14:30 | 阅读:92441 | 评论:0 | 标签:网络安全 hub嗅探 安全科普 流量劫持 监听

[科普]Waf实现扫描器识别 彻底抵挡黑客扫描

目前安全测试的软件越来越多,也越来越强大,越来越多的人成为[黑客],今天在网上看到一个文章说拦截wvs的扫描,勾起了我写这篇文章的欲望。因为公司的三大业务之一就有一个云waf,每天拦截的日志里面,有将近90%的请求是扫描器发出,waf接收到请求会解析数据包,然后过一遍规则,过完成百上千条规则必定对性能有一定的影响。如果能识别出来是人还是扫描器的请求,就可以在这方面节省很大的资源。下面的分析介绍只针对web安全扫描器。目前全能型的扫描器主要是wvs(Acunetix Web Vulnerability Scanner)、AppScan、WebInspect,国内的像aisec、bugscan等等…还有国内那些老安全厂商的扫描器就不说了,主要提一下像wvs这种使用率比较高的。另外还有目录文件型的扫描
发布时间:2013-11-08 12:45 | 阅读:71973 | 评论:0 | 标签:WEB安全 waf 安全科普 扫描

来自国内的大规模挂马攻击,目标DedeCMS

可能这个预警来了迟一些,不过我们非常想表明:DedeCMS真是一个不安全的CMS,据我们安全研究团队的统计,DedeCMS是国内使用最为广泛的CMS(包括那些大品牌网站),但安全漏洞频发,官方响应迟钝,导致最近的好几起大规模攻击事件都和它有关。比如上次说的《[黑产科普]最近大规模的QQ空间钓鱼攻击》,还有这次说的挂马事件。这次传播的网马是“CVE2012-1889(MS12-043)”,利用IE6/7/8的堆喷方式在本地执行任意命令,网马以“轩辕传奇”游戏为关键词进行传播,如下页面:这个页面开头的部分源码如下:有一段经典的JS判断:如果来自百度、Google等搜索引擎,就直接跳转到网马攻击代码页面。否则直接执行下面嵌入的js文件(不过居然在<script>里嵌入html文件,
发布时间:2013-04-02 14:30 | 阅读:57339 | 评论:0 | 标签:WEB安全 dedecms 安全科普 挂马 cms

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云