记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

令黑客一筹莫展的编程方法

2014年4月7日,世界首次知道心脏滴血漏洞。OpenSSL中TLS/DTLS(传输层安全协议)心跳扩展实现上的一个小漏洞,却能使攻击者解开受脆弱OpenSSL软件保护系统中的加密措施。在当时,这些加密措施占据了公网大约2/3的江山。攻击者可以窃听那些看起来加密了的通信,盗取隐私数据,冒充服务和用户。 漏洞一见诸报道,OpenSSL便发布了针对心脏滴血的补丁。即便如此,1年半之后,仍有20多万台设备没有打上补丁。 心脏滴血只是冰山一角 围绕心脏滴血的所有关注(当然还有不必要的心理恐惧),表明了小小编程失误在当下互联时代会造成多大的破坏。 计算机技术早期,漏洞不过意味着一点点的不便。那个时候,计算机间互不联通,一个编程缺陷最多就是某个软件时不时地故障一下。或许你需要不时重启一下机器,但最多也就是如此了。 但互联
发布时间:2016-10-01 03:50 | 阅读:71036 | 评论:0 | 标签:牛闻牛评 OpenSSL 代码验证 安全编程 心脏滴血

3102-Domain/ip Fuzzing tool for vulnerability mining

开源项目,项目地址:https://github.com/fooying/3102具体作用啥的我就不做介绍了,这个版本是第一个版本,比较烂,自己用的都不爽,就不多加介绍了,不过好歹跑起来了这东西搞的挺久了,不过真正花时间去做没多久,比较忙,每次写点代码总就被打断了,好歹终于能跑起来了issue还有7个,表示都是大改动,预计在2.1版本左右会比较稳定。现在就不叫大家参与了,等我把代码改动的稳定了,可拓展了,大家就可以使用自己写插件啥的至于这个名字嘛...有特殊含义,但是就不说了,哈哈,反正是31和02
发布时间:2014-11-05 00:30 | 阅读:57255 | 评论:0 | 标签:安全编程 3102 domain Fuzzing vulnerability mining 漏洞挖掘

原创翻译:给开发者的终极XSS防护备忘录

因为觉得Ajin Abraham(OWASP Xenotix XSS Exploit Framework作者)编写的《THE ULTIMATE XSS PROTECTION CHEATSHEET FOR DEVELOPERS V1.0》这份文档真心不错,很多人也都推荐,有翻译的价值,于是利用每天下班后的时间做了下翻译,主要靠自己的理解以及谷歌翻译,前后大概是一个礼拜的时间。文档中所有的翻译都争取保留原文的格式,但为了更清楚明了以及语义通顺,一些地方做了一些修饰词及顺序的更改。因为水平有限等原因,文档中的一些翻译可能不是完全到位,欢迎大家指正(可以通过以下联系方式)。一些翻译心得和理解,等回头自己都测试理解清楚,再专门写个文章。 联系方式:微博:http://weibo.com/fo
发布时间:2014-08-09 16:38 | 阅读:84972 | 评论:0 | 标签:安全研究 安全编程 html转义 XSS xss攻击 XSS过滤 XSS防护 xss

java实现多线程、结合返回码+文件存在的扫描工具

#lockhart [BHST] 前段时间乌云shine上报出一些j2ee分层架构安全的洞(去哪儿任意文件读取(基本可重构该系统原工程)),是由于class、xml等文件的访问控制或推送到前台,导致信息泄露、重构等。于是也把这些xml组合成字典,拿出各种大站2级域名来刷rank 就有这么个需求: 1、可以选择域名字典的扫描器 2、可以选择路径字典的扫描器(都有) 3、多线程 找了很久,结果: 1、没有找到可以选择域名字典的扫描器 2、绝大部分的扫描器是根据head头的返回码来判断文件是否存在,而许多站都设置了跳转及自定义的404页面,结果扫描器都给我返回200,实际上不存在 3、很多vb、c写的程序出错了。。。 只能自己写个了 最大的问题就是根据返回码来识别文件存在的问题, google找到个py版本的思路
发布时间:2013-02-08 00:34 | 阅读:84484 | 评论:0 | 标签:安全编程

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云