记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

浅谈企业 DevSecOps 实践:基本原则

Devops 是一个操作框架,通过自动化来促进软件的一致性和标准化。 通过打破不同开发团队之间的障碍,同时通过优先考虑使软件开发更快更容易的事情,该框架帮助解决了围绕集成、测试、修补和部署的许多噩梦般的开发问题。DevSecOps是将安全团队和安全工具直接集成到软件开发生命周期中,利用 DevOps 的自动化和效率,确保每个构建周期都进行应用程序安全测试。 这促进了安全性、一致性,并确保安全性与其他质量指标或特性同样重要。 自动化的安全性测试,就像自动化的应用程序构建和部署一样,必须与基础设施的其余部分一起组装。但这就是问题所在。 软件开发人员传统上并不支持安全性。 这并不是因为他们不关心安全问题,而是因为他们被激励着
发布时间:2019-10-17 13:10 | 阅读:1530 | 评论:0 | 标签:Web安全 业务安全 安全工具 系统安全 DevSecOps

JVM 虚拟机创建对象的过程分析(一)

JVM是Java Virtual Machine(Java虚拟机)的缩写,JVM是一种用于计算设备的规范,它是一个虚构出来的计算机,是通过在实际的计算机上仿真模拟各种计算机功能来实现的。引入Java语言虚拟机后,Java语言在不同平台上运行时不需要重新编译。Java语言使用Java虚拟机屏蔽了与具体平台相关的信息,使得Java语言编译程序只需生成在Java虚拟机上运行的目标代码(字节码),就可以在多种平台上不加修改地运行。 本文我们将详细介绍JVM如何创建新对象,并分析在编写新的Object()时会发生什么?在讲解过程中,我们会随时向你分析合适对象会分配使用线程本地分配缓冲区(TLAB),TLAB专门分配给每
发布时间:2019-10-16 13:10 | 阅读:2300 | 评论:0 | 标签:Web安全 JVM 虚拟机

Chrome 浏览器新支持的 portal 标签以及相关的安全问题

<portal>是一个相当新的HTML元素,目前仅#enable-portals标志后面的Chrome Canary支持。正如这篇文章所述,其主要目标是通过在类似<iframe>的元素中预先呈现内容,然后将其“提升”(激活)为一个新的样式,从而实现无缝过渡到Toplevel(顶级窗口)组件的Frame组件。Portal作为网关服务于因特网的一种WEB站点。Portal是链路、内容和为用户可能找到的感兴趣的信息(如新闻、天气、娱乐、商业站点、聊天室等)的指南服务的集合。Yahoo、Excite、MSN.com和Netscape NetCenter都是Portal。portal是一种web应用,通常
发布时间:2019-10-13 13:10 | 阅读:5055 | 评论:0 | 标签:Web安全 Chrome

滥用 ESI 详解(下)

滥用 ESI 详解(上)ESI  在行业中的应用ESI  是一个旧的规范,已经失去了它最初的流行程度。令我们惊讶的是,它仍然在现代高速缓存系统中使用并实现,尽管通常没有完整的规范实现,但总是以它的一个小的、简洁的子集出现。 大多数被分析的产品都将 ESI 作为一个可选特性提供,因此,通常默认情况下会禁用 ESI。 尽管如此,我们还是发现有一些产品是默认启用了 ESI。IBM WebSphere部署启用动态缓存特性的 WebSphere 实例需要启用 ESI 才能完成部署工作。 由于部署的复杂性,这个目标没有作为我们研究的一部分进行测试。Squid3虽然现在的 squid 版本默认情况下不会启用 ES
发布时间:2019-10-12 13:10 | 阅读:5232 | 评论:0 | 标签:Web安全 漏洞 ESI

协议层的攻击——HTTP请求走私

1. 前言最近在学习研究BlackHat的议题,其中有一篇议题——"HTTP Desync Attacks: Smashing into the Cell Next Door"引起了我极大地兴趣,在其中,作者讲述了HTTP走私攻击这一攻击手段,并且分享了他的一些攻击案例。我之前从未听说过这一攻击方式,决定对这一攻击方式进行一个完整的学习梳理,于是就有了这一篇文章。当然了,作为这一攻击方式的初学者,难免会有一些错误,还请诸位斧正。2. 发展时间线最早在2005年,由Chaim Linhart,Amit Klein,Ronen Heled和Steve Orrin共同完成了一篇关于HTTP Request
发布时间:2019-10-11 18:10 | 阅读:4221 | 评论:0 | 标签:Web安全 HTTP

2019 Trend Micro CTF & Java Web

前言之前写的文章都是偏重于php,本篇文章就以2019 Trend Micro CTF的一道300分的Java Web开始我的Java之路吧~题目分析题目给了1个war包,那么很明显是一道代码审计题目,我们使用JD-GUI打开分析一下代码,代码结构大致如下:我们在Office类中看到需要接收2个参数:继续往下跟进,我们看到一个明显的spel表达式注入点:而nametag正是我们传入的参数,同时未做任何过滤,便带入了表达式中进行解析,那么这明显是一个可控利用点。但是如何进入该if条件句成为了一个问题,我们注意到:String keyParam = request.getParameter(&
发布时间:2019-10-11 13:10 | 阅读:2336 | 评论:0 | 标签:Web安全 java SPEL xxe

如何在Windows上重现macOS上的取证技巧

当你执行Apple iCloud提取时,虽然无所谓是在Windows还是在macOS平台。但仍然有些差异,因为macOS具有更好或本机iCloud支持。虽然逻辑提取也可以在任何平台上完成,但是,当使用Elcomsoft iOS Forensic Toolkit进行越狱设备的完整文件系统提取时,强烈建议使用macOS。但是,如果你擅长于使用Windows,那么接下来我们就会给你讲解一些关于如何在Windows上重现macOS上的取证技巧。启动工具包首先,即使你以管理员身份登录系统,也必须以管理员权限启动工具包。这个过程非常简单:只需在资源管理器中找到主程序脚本(Toolkit.cmd),右键单击它,然后选择“以管理员身份
发布时间:2019-10-10 13:10 | 阅读:2621 | 评论:0 | 标签:Web安全 windows

三起利用ODT文件格式绕过杀毒引擎的攻击案例分析

近期,思科Talos观察到利用Office应用程序的开放文档格式(OpenDocument,ODT)来绕过防病毒引擎的攻击行为。ODT是一个ZIP存档,其中包含Microsoft Office等软件使用的基于XML的文件。杀毒引擎往往将ODT文件视为标准归档文件,并且没有应用与Office文档相同的规则,另外还有一些沙箱也无法分析ODT文档,因为它被认为是归档文件,并且沙箱不会以Microsoft Office文件的形式打开它,因此攻击者可以使用ODT文件来传递通常会被传统杀毒软件阻止的恶意软件。我们只找到几个使用这种文件格式的示例。大多数使用恶意文档的活动仍然依赖于Microsoft Office文件格式,但是这些案
发布时间:2019-10-09 13:10 | 阅读:3879 | 评论:0 | 标签:Web安全 ODT

鱼叉式网络钓鱼攻击——一份关于攻击动机、技术和预防方法的完整指南

每天都有成千上万的鱼叉式钓鱼邮件发送给全世界的受害者。攻击有很多不同的路径,不管怎样攻击,都会对您的网络造成伤害。所以,准确的、有针对性的进行分析和执行是至关重要的。在本指南中,我们将介绍鱼叉式网络钓鱼攻击,包括技术、示例、缓解程序和一些最佳办法。鱼叉式网络钓鱼是什么?鱼叉式网络钓鱼是一种通过电子邮件活动执行的恶意行为,黑客可以通过电子邮件活动研究用户的目标,了解用户的喜好,并且研究日常运作,通过特殊定制的邮件来窃取敏感数据和安装恶意软件。这种有针对性地部署电子邮件活动称为鱼叉式网络钓鱼攻击。任何进入收件箱的匿名电子邮件都可以被视为是网络钓鱼攻击。以恶意为目的将数百万封电子邮件发送到电子邮件ID数据库称为网络钓鱼。它可
发布时间:2019-10-08 13:10 | 阅读:4299 | 评论:0 | 标签:Web安全 鱼叉式网络钓鱼攻击

如何从iPhone中提取和解密Signal的会话历史

Signal是一款Open Whisper Systems公司开发的应用软件,Signal的优势在于信息加密,用户发送的任何文字、视频和图片都会进行端对端加密。Signal的早期版本只有移动端应用,如果你想在电脑上使用Signal,只能通过Chrome浏览器中的应用才能使用。不过现在,Signal发布了独立的桌面端应用程序,只需要下载客户端,你就能在电脑上使用Signal了。电脑配置要求至少运行64位系统的Windows 7,MacOS 10.9Mavericks或支持APT(高级软件包工具)的Linux发行版,它作为一款很受欢迎的私密聊天软件,律师、记者以及机要人士都将其作为主要的通讯工具(斯诺登也曾夸过的),目前S
发布时间:2019-10-08 13:10 | 阅读:4126 | 评论:0 | 标签:Web安全 iPhone phone

Django 开发中你不可不知的 7 个 Web 安全头

Web 是一个不断发展的平台,有很多向后兼容的问题。 新的 web 安全实践通常来自于对存在缺陷的旧功能的认识。 与其通过改变这些功能来破坏旧网站,还不如选择加入一些更安全的设置。 你可以通过设置 HTTP 头来实现这一点。Securityheaders.com 是一个由安全顾问 Scott Helme 运行的工具,它可以在这些安全头上创建一个报告。 它为任何 URL 提供从 F 到 A+ 的评分,这是一种度量网站安全状况的简单方法。 但是,像任何自动化报告一样,它需要人工解释报告的上下文。(我也推荐 Mozilla Observatory 安全扫描器,但我不会在这里使用它,因为它的功能远远超过了安全头。)举个例子,Y
发布时间:2019-10-06 13:10 | 阅读:6911 | 评论:0 | 标签:Web安全 技术

云端数据提取的发展历程

在iOS取证中,当无法进行物理采集时,云端数据提取确实是一种可行的替代方案。在即将发布的iOS 13版本中,苹果攻击附加了额外的安全措施,无疑将使物理访问变得更加困难。虽然下载iCloud备份的能力已经被很多人掌握了,但对于如何获取用户登录名和密码以及双因素身份验证,很多人是无法逾越这个门槛的。早在2014年,就有研究人员介绍了如何使用身份验证令牌来访问没有密码的iCloud备份的方法,详情请参阅《破解iCloud:无需密码》。紧接着,就有研究人员研究出了如何使用身份验证令牌访问存储在iCloud中的其他类型的数据,包括用户的照片库、浏览历史记录、联系人、日历以及Apple在登录到的所有用户设备上同步的其他信息。不过随
发布时间:2019-10-02 13:10 | 阅读:10475 | 评论:0 | 标签:Web安全 云端数据

Kerberos中继攻击:滥用无约束委派(下)

上一篇文章,我只讲了中继攻击的基本理论,这篇文章,我会举两个示例来及具体说明。示例1:使用计算机帐户和SpoolService漏洞获取DC同步权限在第一种情况下,我们将滥用我的internal.corp实验室域中的计算机帐户的无约束委派权限。通过攻击用户testuser获得了此主机的管理权限,该用户是该主机上Administrators组的成员。我们将按照上面列出的步骤,首先获取Kerberos密钥和NTLM哈希:[email protected]:~$ secretsdump.py [email protected]Impacket v0.9.19-dev 
发布时间:2019-10-01 13:10 | 阅读:14389 | 评论:0 | 标签:Web安全 Kerberos

2019 OGeek Final & Java Web

前言前段时间参加了OPPO举办的OGeek网络安全比赛线下赛,遇到一道Java Web,由于不太擅长,只是做了防御没有攻击成功,趁周末复盘一下~代码分析拿到题目,发现没有啥功能:顺势看了一眼源码:看到shiro后立刻可以想到shiro的反序列化漏洞:https://paper.seebug.org/shiro-rememberme-1-2-4/可以看到存在漏洞的shiro版本号为:1.2.4,我们查看题目当前版本:那么显然,是存在shiro反序列化攻击的。shiro反序列化查阅相关资料可以知道,该漏洞的利用,涉及如下几个重要的点:- rememberMe cookie- CookieRem
发布时间:2019-09-29 13:10 | 阅读:14042 | 评论:0 | 标签:Web安全 CTF java web

ATMDtrack:六年前攻击首尔的恶意软件,这次瞄准了印度银行业

2018年,卡巴斯基研究人员发现了一种针对印度的银行恶意软件——ATMDtrack,其功能是植入ATM后读取和存储银行卡中的数据,进一步研究后,卡巴斯基发现了ATMDtrack的180个新样本,并将其统称为Dtrack。早期发现的所有Dtrack样本都是已经植入的样本,因为实际Payload是用各种dropper加密的,而ATMDtrack和Dtrack内存转储共享的唯一序列,是发现这些样本的关键线索。在解密并了解最终的payload后,我们发现它与DarkSeoul行动(2013年朝鲜战争纪念日时,对韩国网络的攻击行动)存在一些相似之处,该行动可归因于朝鲜黑客团伙Lazarus组织。那么看来,Lazarus组织重新使
发布时间:2019-09-28 13:10 | 阅读:12413 | 评论:0 | 标签:Web安全 ATMDtrack

Kerberos中继攻击:滥用无约束委派(上)

关于在Active Directory中滥用Kerberos的研究,最近十分火爆。所以,这篇文章也讨论了一个相对未知(从攻击者的角度来看)但很危险的特性:无约束的Kerberos委派。另外,在撰写本文的过程中,我还发现了一些有趣的RPC调用,这些调用可以让域控制器对你进行身份验证,甚至允许跨越“森林边界”发起攻击。然后我发现了PrivExchange,它可以使交换验证以类似的方式进行。由于用于无约束委派滥用的工具非常少,所以我编写了一个新的工具包krbrelayx,它可以滥用无约束委派,并从连接到你主机的用户那里获取TicketGrantingTicket(TGT)。在本文中,我将深入研究无约束的委派滥用,以及krbr
发布时间:2019-09-27 13:10 | 阅读:12707 | 评论:0 | 标签:Web安全 Kerberos

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云