记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

勒索软件——JS邮件恶意脚本分析

阅读: 31在互联网发展越来越壮大的同时,网络安全也面临着各种挑战与机遇。在过去数年,基于脚本的恶意软件的大幅增加让企业、用户等面临着更多勒索软件的威胁。众所周知,勒索病毒等新型恶性病毒,常通过邮件来传播。“邮件欺诈——病毒下载器——恶性病毒”是目前最常见的传播方式。“脚本类”下载者病毒(TrojanDownloader)呈现激增的趋势。病毒制作者经常将这两种病毒作为邮件附件并将其赋以诱惑性的文字发送给受害者。其运行后会下载勒索病毒等高危病毒,使用户造成严重的经济损失。文章目录JavaScript传播方式JavaScript恶意脚本形式1.随机变量名及函数名。2.添加垃圾代码。3.等效替换。4.利用自定义算法加密原始代码数据。计算机感染机制总结JavaScript传播方式用户在访问恶意网站或恶意电子邮件附件时可
发布时间:2018-05-22 20:05 | 阅读:150577 | 评论:0 | 标签:安全分享 javascript 勒索软件 勒索邮件 恶意脚本 恶意邮件

JavaScript的反调试技术(下篇)

在本文的上篇中,我们为读者介绍了与JavaScript反调试有关的一些技巧,其中包括函数重定义、断点、时间差异、DevTools检测和执行流程完整性的隐式控制等,接下来,我们将为读者介绍更多的反调试技巧。
发布时间:2018-02-27 12:20 | 阅读:154271 | 评论:0 | 标签:Web安全 技术 Javascript 反调试

访问一个网站就能让ASLR保护失效,百万设备陷入危机

安全研究员发现一个芯片漏洞,此漏洞影响到数以百万计的设备,不管设备上安装的是什么操作系统或是应用程序,这个漏洞都能让设备的防黑保护无效化。更糟糕的是,这个漏洞不会因为任何的软件升级而被彻底修复。 该漏洞存在于内存管理单元(MMU)(许多CPU的组件)的工作方式中,利用此漏洞就能绕过地址空间布局随机化(ASLR)保护。 ASLR是现代操作系统重要的安全防御手段,无论是Windows和Linux还是macOS,Android,BSD都已采用了该技术。 一般来说,ASLR是一种内存保护机制,它使程序在设备内存中运行的位置随机化。攻击者难以通过利用缓冲区溢出或类似bug而在内存的特定地址执行恶意的有效载荷。可以说,有了ASLR的存在,攻击者的每次尝试都是摸瞎的状态下进行的。 但就是有那么一群来自荷兰Vrije大学的研
发布时间:2017-02-21 20:45 | 阅读:97846 | 评论:0 | 标签:漏洞 系统安全 aslr javascript

wix.com的Dom-Basic XSS漏洞

前言 wix.com是Java和HTML5出版平台,目前用户已经超过了数百万。而最近有研究人员在wix.com上面发现了基于DOM的跨站脚本漏洞,该漏洞被攻击者利用来对任何运行在wix.com上面的网站并获取控制权。 什么是Dom-Basic XSS 基于Dom的XSS攻击,其中攻击的有效载荷在受害者使用的浏览器上修改Dom环境从而被用作是原客户端的脚本,客户端的代码在一个“意外”的方式下运行,也就是说,页面本身不会改变,但是页面中包含的客户端代码由于DOM环境中发生的恶意修改而有所不同。 基于DOM的XSS攻击与常见的XSS攻击截然不同,由于服务器端脆弱性而在响应页面中提供恶意有效载荷。 利用 在wix.com上有一个严重的DOM-XSS漏洞,允许攻击者完全控制人和托管在wix上面的网站。只需要将一个参数添加
发布时间:2016-11-05 02:05 | 阅读:157870 | 评论:0 | 标签:Web安全 DOM Javascript wix.com xss 漏洞

当我们在谈论前端加密时,我们在谈些什么

当然在谈安全。 前端安全是Web安全的一部分,常见的安全问题会有XSS、CSRF、SQL注入等,然而这些已经在程师界得到了相当高的重视并且有了很成熟的解决方案。 所以我们今天只谈前端“加密”,一个部分人认为没有意义的工作。 有争议的事情总是那么因崔斯汀,接下来就让我们谈谈前端传输中的数据“加密” 。 前端传输的数据我们应该用什么算法加密,如何组织整个加密过程呢? 一般有几种做法: JavaScript 加密后传输 浏览器插件内进行加密传输 Https 传输 在这里其实 HTTPS 是终极解决方案,所以文章对于仍在使用 HTTP 建站的小伙伴更有帮助。本文中将讨论第一种方法,也就是使用 JavaScript “加密”。使用双引号是因为这里面分为两种手段,一是使用数据摘要进行消息杂凑,
发布时间:2016-08-16 21:05 | 阅读:106913 | 评论:1 | 标签:Web安全 Javascript 前端加密 前端安全 哈希加密 拖库 非对称加密 加密

httphijack:基于Javascript的前端Xss防御系统

项目主页: https://github.com/chokcoco/httphijack 简介 使用Javascript实现前端防御http劫持及防御XSS攻击,并且对可疑攻击进行上报 使用方法 引入httphijack1.0.0.jshttphijack.init() 防范范围: 使用须知 建立自己的黑白名单、上报系统及接收后端 License MIT 未经允许不得转载: » httphijack:基于Javascript的前端Xss防御系统
发布时间:2016-08-14 22:35 | 阅读:90109 | 评论:0 | 标签:工具 httphijack Javascript xss xss防御 前端

警惕:钓鱼攻击的两大新型手段

研究人员注意到了一些新型的钓鱼攻击。网络罪犯使用了一些新的手段,防止引起注意,并让行动更加有效。越来越多的网络犯罪小组注意到,针对公司高管的钓鱼攻击的利润也许极其丰厚,但针对普罗大众的攻击也可能收获颇丰。因此,许多恶意行为源正在尝试改进攻击手段。一、错误配置的临时URL本月早些时候,Sucuri报告称发现了一种攻击者在钓鱼攻击中使用的新技巧。网络罪犯需要每隔一段时间就更改钓鱼页面的域名,防止被安全产品封堵,现在他们似乎找到了获取此类域名的新方式。研究人员表示,攻击者利用了一种现状:多数托管服务提供商,甚至是一些大型的,都没能够正确配置临时URL。这类URL的大体样子是http://server-name/~username/,它们的作用是让用户在将网站链接到域名之前进行测试。当这些临时URL配置不正确时,就可以
发布时间:2016-06-28 17:50 | 阅读:77356 | 评论:0 | 标签:黑极空间 JavaScript PayPal钓鱼邮件 Sucuri报告 网络罪犯 钓鱼攻击

JSPrime:基于JavaScript DOM XSS检测的轻量级代码审计工具

如今,随着前端技术人才需求的不断增加,越来越多的开发者逐渐将JavaScript作为其开发语言的第一选择。目前无论是在传统PC Web平台还是移动终端平台上,在客户端侧或者服务端侧,JavaScript均有不俗的性能体现及丰富的框架支持,所以其作为一个主流开发语言也逐渐被广泛认可接受。同时,JavaScript 也因其解释器性能上的优势,可为企业解决可扩展性和吞吐量等瓶颈问题。所以JavaScript当前来说是一种重要的、强大的开发语言,它的使用者也是日益增多。但目前的问题是,随着越来越多的JS库的出现及许多开发者在以功能实现为导向时,有时候会出现不安全编码,而这也导致了许多客户端侧攻击事件出现,其中特别是DOM XSS最为普遍。在开发这个工具之前,我们试图分析代码中引起DOM XSS攻击
发布时间:2016-03-31 18:10 | 阅读:79765 | 评论:0 | 标签:WEB安全 dom xss javascript JSPrime xss

技术分享:几种常见的JavaScript混淆和反混淆工具分析实战

信息安全常被描述成一场军备竞赛,白帽与黑帽,渗透测试者与黑客,善与恶,本文将聚焦这场永无止境决斗中的一个小点。HTML5 & JS 应用中充满着对输入进行验证/注入的问题,需要开发人员始终保持警惕。但同时还存在着另一个问题,就是应用中程序专用代码的易访问性。为了防止盗版或者至少使盗版更加困难,常会使用混淆工具对 JS 代码进行混淆。作为对立面,反混淆工具也可以将混淆过的 JS 代码进行还原。我曾经接触过双方的一些工具,下面是我的一些研究成果。首先,下面这是我们的示例代码(取自Google Closure Compiler的 Wiki 页面)。一个完整的应用程序中代码会更加复杂,但这里足以用于实验了:function displayNoteTitle(note) {alert(not
发布时间:2016-03-05 13:15 | 阅读:112573 | 评论:0 | 标签:WEB安全 HMTL5 javascript 混淆反混淆

Cash:Javascript打造的Unix Shell

Cash是一种纯粹由ES6(Javascript)实现的跨平台的Unix shell,它可以在windows下使用,曾经受超过200次严格全面的单元测试。介绍Cash的github地址在这里,你可以联想下Cygwin,不过Cash还具有别的特性:1.非本地编译2.没有麻烦的DLL文件3.任何终端可用4.只有Cygwin约15分之一的大小Cash其实有特殊的意义,它将“>”标志换成了“$”,也就是货币符号,代表着“问既有答”的理念。> cash$当然,Cash看起来其实跟bash挺像,其实也确实有关系。想要使用它吗?你需要做的是:> npm install cash -g> cash$现在我们试试”中西结合”,把Windows命令和Unix命令混合使用:$ ipcon
发布时间:2016-02-26 21:15 | 阅读:70173 | 评论:0 | 标签:安全管理 工具 cash javascript

深夜话题:这十二行代码是如何让浏览器爆炸的?

起因今天刷推特的时候发现Cyber Security@cyber__sec的推文让人眼前一亮:Crash firefox, chrome, safari browsers, and also restart iphone using this javascript code. #dos #0day #exploit//使用下面这段JavaScript代码能让firefox,chrome,safari浏览器崩溃,而且还能让iphone重启。继续在推特上深挖发现IT Security Tweets ™ @F1r3h4nd 于17日发推:Crash
发布时间:2016-01-20 23:05 | 阅读:127666 | 评论:1 | 标签:活动 终端安全 0day Bug javascript 崩溃 浏览器

利用javascript压缩工具留下后门

在POC||GTFO 0×08的文章” Deniable Backdoors Using Compiler Bugs”中,作者提到了利用CLANG编译器本身的bug来生成一个有后门的sudo,使其允许任何用户获取root权限。这种技术相当猥琐,毕竟没人能通过审查源码就证明他们对sudo的修改是一个后门;相反,这个权限提升后门是由特定版本的CLANG在编译的时候插入进去的。这不禁让我思考,能否在javascript中使用同样的后门技术。JS几乎处处可见其身影(从浏览器,到服务器,到arduino,到机器人,甚至某一天还可能在汽车上见到它的踪迹)。但是javascript是解释型语言,不是编译型语言。然而,对js进行削减和优化,以减小文件大小,提升性能,这种做法很常见。或许通过使用j
发布时间:2015-11-01 01:15 | 阅读:123922 | 评论:0 | 标签:漏洞 javascript 后门

使用 estools 辅助反混淆 Javascript

知道创宇安全研究团队  ChiChou:2015.8.7   1. 前言 Javascript 作为一种运行在客户端的脚本语言,其源代码对用户来说是完全可见的。但不是每一个 js 开发者都希望自己的代码能被直接阅读,比如恶意软件的制造者们。为了增加代码分析的难度,混淆(obfuscate)工具被应用到了许多恶意软件(如 0day 挂马、跨站攻击等)当中。分析人员为了掀开恶意软件的面纱,首先就得对脚本进行反混淆(deobfuscate)处理。 本文将介绍一些常见的混淆手段和 estools 进行静态代码分析的入门。   2. 常见混淆手段   2.1 加密 这类混淆的关键思想在于将需要执行的代码进行一次编码,在执行的时候还原出浏览器可执行的合法的脚本,然后执行之。看上去和可
发布时间:2015-08-07 19:10 | 阅读:141417 | 评论:0 | 标签:技术分享 chichou javascript 反混淆 混淆

我是如何参与魅族630抢购的

0×00 首先声明一下:我是魅族脑残粉,不缺钱买手机,纯粹是当作做试验,要知道程序猿都是懒人! 0×01 630那天早上9点左右的时候打开http://store.meizu.com/twelve.html,右键源码看了一下,没有发现什么有价值的东西,估计那会还没准备好吧,当时还只是一个纯静态页面。 0×02 10点多的时候再次刷新了一下,这次页面有变化了,通读了一下代码,可惜当时忘了保存了。我认为的关键代码是这里(找不到原始的了,大概是这么个意思): jQuery.ajax({ url: "http://store.meizu.com/topic/twelve/go/"+Math.random(), timeout:30000, success: func
发布时间:2014-07-02 12:30 | 阅读:78138 | 评论:0 | 标签:JavaScript 网络拾遗 魅族

淘宝IP地址库API

接口说明1. 请求接口(GET):http://ip.taobao.com/service/getIpInfo.php?ip=[ip地址字串]2. 响应信息:(json格式的)国家 、省(自治区或直辖市)、市(县)、运营商3. 返回数据格式:{“code”:0,”data”:{“ip”:”210.75.225.254″,”country”:”u4e2du56fd”,”area”:”u534eu5317″,“region”:”u5317u4eacu5e02″,”city”:”u5317u4eacu5e02″,”county”:”",”isp”:”u7535u4fe1″,“country_id”:”86″,”area_id”:”100000″,”region_id”:”110000″,
发布时间:2014-02-17 16:20 | 阅读:209906 | 评论:0 | 标签:javascript IP

Spring MVC 3.2 DeferredResult and long polling

唉...博客四个月没更过了...本来不想说,但是...但是...最近真的很忙啊...眼看再过一个月多点就要升级当爹了...不废话了,说正事,因为最近项目中需要在浏览器上做一个实时监控的功能,目前实现这玩意的方式及框架也挺多的,感觉都挺麻烦的,也不想引入过多的框架进来,尽量在现有的框架上实现,起初用的是ExtJS direct中的polling方式,设置成一秒拉一次数据,后来发现这玩意请求数太多了,而且未必下一秒服务器端就有新数据,总之就是不太好用。 咱继续google查资料,发现Servlet 3.0开始支持async,看了一些介绍【戳这里】,不错哦!原生的!因为现在用的是Spring MVC 3.2,所以想找找看有没有结合Spring MVC的实现,在Spring官方博客上找到两篇文章: SPRING MV
发布时间:2013-06-04 16:45 | 阅读:374558 | 评论:0 | 标签:Java JavaScript jQuery long polling Spring MVC 长轮询

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云