记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

XSS’OR 开源,Hack with JavaScript

XSS’OR 开源了。采用 BSD 开源协议,很宽松,不限制传播与商业化,留下作者版权就好。在下面这个 GitHub 页面上,你不仅可以得到 XSS’OR 的源码,还可以了解如何自己搭建一个。 https://github.com/evilcos/xssor2 简单说明下: 上线之后(xssor.io),使用频率还不错。源码是 Python 及 JavaScript,采用了 Django、Bootstrap、jQuery 三个优秀框架,可以完整覆盖前后端,基于这三个框架,开发速度非常的快,整个过程消耗我不到一周时间,其中一半耗时在软件设计上。感兴趣这个过程的,可以读这套源码,很简洁,在开发过程中我特意去掉数据库(因为我觉得我这个应用场景其实不需要数据库)。 既然开源了,后续应该会和新组
发布时间:2017-06-28 01:55 | 阅读:132332 | 评论:0 | 标签:Web Hack CSRF XSS XSS'OR xss

在线免费的前端黑工具 XSS’OR

这是一个在线免费的前端黑工具,目前主要包含 3 大模块: 1. Encode/Decode 加解密模块,包含:前端黑相关的加解密,代码压缩、解压、美化、执行测试,字符集转换,哈希生成,等。 2. Codz 代码模块,包含:CSRF 请求代码生成,AJAX 请求代码生成,XSS 攻击矢量,XSS 攻击 Payload,等。 3. Probe 探针模块,为了平衡,这是一个最基础的探针,且每个 IP 每天都可以生成一个唯一探针,使用者可以用这个探针发起攻击测试(如:XSS、钓鱼攻击等),探针可以获取目标用户的基本信息,使用者还可以动态植入更多的命令(JavaScript Codz)进行“远控”测试。 一些用户体验与隐私考虑: XSS’OR,即使你浏览器不小心关掉或奔溃,你的记录也不会丢,因为相关记录都缓存
发布时间:2017-05-19 18:00 | 阅读:131157 | 评论:0 | 标签:Web Hack CSRF XSS XSS'OR xss

一种新型蠕虫:花瓣CORSBOT蠕虫

新年新气象,这个蠕虫我做了小范围测试,也提交了官方修复,小圈子里做了分享,这里正式对外公布下,出于研究而非破坏为目的,供大家参考。 IAMANEWBOTNAMEDCORSBOT ——-BOT PoC——- http://evilcos.me/lab/IAMANEWBOTNAMEDCORSBOT.TXT 完整代码直接见上面这个链接即可。 里面需要特别注意的两个点: Conten-Type是JSON Origin是:huaban.com.al3rt.io,这个小技巧直接绕过花瓣的Origin判断 所以,蠕虫得以传播。 本质是:CORS(Cross-Origin Resource Sharing)的滥用导致,效果图: 最后,友情提示下:这个问题还是比较普遍的。脑洞
发布时间:2017-01-29 14:15 | 阅读:161809 | 评论:0 | 标签:Web Hack CORS crossdomain CSRF HTML5 JS Worm

[PRE]CSRF攻击-进击的巨人

计划准备出一个PPT专门讲解CSRF里的各种奇技淫巧,除了那些老套的手法之外: https://github.com/evilcos/papers 我公布的Papers里有个PPT是《CSRF攻击-苏醒的巨人》,可以参考。 还包括以前提的Flash CSRF/XSF等方式,细节可以温习去年我的Paper(隐蔽的战场—Flash Web攻击),希望Flash是日不落帝国,虽然现在快日落了,但是不影响我们的最后挣扎。 除了这些,当然会有新的玩意,比如JSON Hijacking就一直在进化。还有去年很火的WormHole,这是JSON Hijacking本地攻击的一种延伸,点击下这个试试: http://evilcos.me/lab/pac.html 探测你本地是否用Shadowsocks,当然你即使用了也不一定会
发布时间:2016-12-02 23:55 | 阅读:130938 | 评论:0 | 标签:Web Hack CORS crossdomain CSP CSRF Flash JS JSONP Worm

说说“当代 Web 的 JSON 劫持技巧”

当代 Web 的 JSON 劫持技巧 http://paper.seebug.org/130/ 猥琐流的家伙居然在OWASP重出江湖而且加入了Burp Suite那家公司。这篇技巧核心是__proto__,可以理解为JavaScript曾经的prototype在ES6里的增强,当代浏览器基本都支持了这个新标准。这个跨域技巧很有意思的,不过目前实战利用上“暂时鸡肋”… 里面还有个亮点是UTF-16BE技巧,这个技巧除了注意字符集差异带来的安全问题之外,还应该注意下:浏览器对待MIME类型检查的态度差异… 重点来了,欢迎更多人投稿安全技术文章给Seebug Paper,公益性的:-) 投稿方式见: http://paper.seebug.org/call-for-paper/
发布时间:2016-11-30 22:10 | 阅读:130280 | 评论:0 | 标签:Web Hack CSRF JS JSONP

关于浏览器混合内容的安全性

Seebug Paper之前收录了三篇文章有些关联性,分别是: 绕过混合内容警告 – 在安全的页面加载不安全的内 http://paper.seebug.org/112/ 检测本地文件躲避安全分析 http://paper.seebug.org/87/ 基于浏览器的指纹识别:影响和缓解措施 http://paper.seebug.org/64/ 有个关键点是:混合内容的安全性。 这里提到的主要是协议的混合,如https/http/file/res/mhtml等,现代浏览器逐渐开始隔离这些协议,比如https下加载http的内容时,给出安全提示;再比如“修补”file/res/mhtml这些协议在http协议的网页里带来的安全问题,如本地文件探测(常见的是杀软探测)。 玩前端Hack的都知道,修补
发布时间:2016-11-22 15:10 | 阅读:113815 | 评论:0 | 标签:Web Hack Browser CSP HTML5 JS XSS

记第10次印刷

《Web前端黑客技术揭秘》这本书2013.1月开售至今,已经第10次印刷,在安全类书籍中,这种成绩确实超出我们的意料。回头看看这一路记录的一些文字也是挺有意思的: http://evilcos.me/?tag=book 还有本书官网http://web2hack.org/上的“消息列表”。 作为过来人,写书虽然是一件很有成就感的事,但是机会成本可能太高,而且真的很痛苦,除非你本身就是个写作爱好者。感谢所有的支持者。 书出版到现在已经快4年了,确实很多知识可以更新,至于本书的第二版是否会出,且看某人是否真的有足够勇气继续承受这种压力,当然某人的勇气多少也会拉我再次入那么点火坑。 哎…
发布时间:2016-11-09 06:50 | 阅读:92592 | 评论:0 | 标签:Web Hack Book

[UPDATE]号称影响10亿App的OAuth2.0使用缺陷

说 OAuth2.0 漏洞/这个协议不安全的人,把头伸过来下,砖头准备好了。 Black Hat 的有关 Paper: 《OAuth User Profile Attack – How to Sign into One Billion Mobile App Accounts Effortlessly》 本质问题在于一些 App 在使用 OAuth2.0 协议时,(估计为了简单)使用的是 Implicit Flow 模式,然而并没严格按照协议的要求去实现,导致可能出现的劫持攻击。这并不是说 OAuth2.0 本身有漏洞或这个协议本身不安全,就好像两年多前的心脏出血漏洞,问题不在于 SSL 这个协议本身,而在于其某种实现方式(OpenSSL)有缺陷。一些媒体文的专业性一直是被诟病的,搞安全的人不要轻信媒
发布时间:2016-11-07 22:30 | 阅读:64954 | 评论:0 | 标签:Mobile Hack Web Hack Android OAuth2.0

隐蔽的战场—Flash Web攻击

这个议题是为本次 XCon 2015 准备的,讲完 XCon,办完自家的 KCon 后,我终于有点时间能来更新点内容了。 Flash Web 攻击是 Web2.0 Hacking 的一个重要分支,不过纵观全球,研究这个领域的人相对来说是很少的,这个领域有几个特殊性: 1. 需要较强的背景知识,虽然 Flash 的脚本语言(ActionScript)与 JavaScript 类似 2. 权限模型比起 DOM 的权限来说复杂得多 3. Flash 的开发安全更加不受重视 4. HTML5 不出两年就会淘汰掉 Flash,导致这个领域已经是日落帝国 虽然如此,Flash Web 攻击还是留下了许多经典姿势,我这个 PPT 里的内容大多数来说并不是新的,但却很少被剖析提及。这次我来收个尾,1是向 Flash 致敬,2是
发布时间:2015-08-30 15:00 | 阅读:112307 | 评论:0 | 标签:Web Hack CSRF Flash Flash Rootkit KCon XCon XSF XSS

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云