文章列表
FCIS 2023白帽论坛议题:Fuzzing的艺术(麦香)
Fuzzing的艺术如何一天发现数百个漏洞编译器/解释器应用广泛1. 网络浏览器2. 数据库管理系统3. 插件或扩展式软件4. 办公软件或文档编辑器5. 操作系统,虚拟机6. 配置文件编排系统7. 编译器/解释器总结1. PolyGlot让语言处理器fuzzing变得通用和高效 a. 一个小时不到就可以写出一个高效的语言fuzzer2.
subfinder:快速被动子域名枚举工具
---subfinder是一款子域名发现工具,可使用被动在线资源返回网站的有效子域名。它具有简单的模块化架构,并且针对速度进行了优化。subfinder它只为做一件事而构建——被动子域名枚举,并且它做得非常好。我们已使其符合所有使用的被动源许可证和使用限制。被动模型可确保速度和隐秘性,渗透测试人员和
新型 Gafgyt 僵尸网络变种利用弱 SSH 密码进行 GPU 加密货币挖矿
网络安全研究人员发现了Gafgyt僵尸网络的新变种,该变种以具有弱 SSH 密码的机器为目标,最终利用其 GPU 计算能力在受感染的实例上挖掘加密货币。Aqua Security 研究员 Assaf Morag在周三的分析中表示,这表明“物联网僵尸网络的目标是在云原生环境中运行的更强大的服务器”。Gafgyt(又名 BASHLITE、L
中国计算机行业协会官网存在SQL注入漏洞
中国计算机行业协会官网存在SQL注入漏洞
PSRC白帽子安全沙龙第九期成都站:JS逆向分析(王世杰)
目录1.常见加密方式 1.MD5线性散列算法 2.DES/AES加密 3.RSA加密 4.SSL/TLS加密2.代码混淆原理 1.字符位移 2.对象属性访问 3.标识符重命名 4.代码结构变化 5.字符串加密 6.数据流向混淆3.常见问题分析 1.无限debugger 2.调试界面进入 3.常见混淆解码4.实例分析 1.某网站解密密文 2.某sr
微软警告OpenVPN存在漏洞和潜在的利用链
拉斯维加斯-- 软件巨头微软利用黑帽安全大会的关注度,记录了OpenVPN 中的多个漏洞,并警告称,熟练的黑客可以创建漏洞利用链,用于远程代码执行攻击。 根据雷德蒙德威胁情报团队的最新文件,这些漏洞已在OpenVPN 2.6.10 中得到修补,为恶意攻击者构建“攻击链”以完全控制目标端点创造了理想条
spray:下一代目录爆破工具
repo: https://github.com/chainreactors/sprayspray主要为了解决自动有效目录识别, 极限性能, 多目标以及分布式目录爆破中可能会遇到的问题. 并为解决这些问题保留了及其丰富的拓展能力. 提供了一站式的目录爆破/信息收集解决方案.spray = + + + + 自带的大量目录爆破相关功能设计理念:尽可能把
FBI 关闭了 Dispossessor 勒索软件集团在美国、英国和德国的服务器
美国联邦调查局 (FBI) 周一宣布与新兴勒索软件组织 Radar/Dispossessor 相关的在线基础设施遭到破坏。此次行动摧毁了三台美国服务器、三台英国服务器、18 台德国服务器、八个美国犯罪域名和一个德国犯罪域名。据称 Dispossessor 的领导者是网名为“Brain”的个人。美国联邦调查局在一份声明中表示:“
dnsx:快速、多用途DNS工具包,专为运行DNS查询而设计
---dnsx是一款快速且用途广泛的 DNS 工具包,旨在通过retryabledns库运行各种探测。它支持多个 DNS 查询、用户提供的解析器、DNS 通配符过滤(如shuffledns)等。Github:https://github.com/projectdiscovery/dnsx/# 特征 - 用于查询 DNS 记录的简单方便的实用程序 - 支持 **A, AAAA, CNAME, PTR, NS,
PSRC白帽子安全沙龙第九期成都站:虚拟化逃逸在红蓝对抗中的应用(f1yyy)
目录1. 背景知识虚拟化逃逸及主流架构介绍2. 红蓝对抗中虚拟化逃逸实践示例网络架构及Demo3. 虚拟化逃逸实战化实现思路以ESXi和Qemu-KVM为例小结1.通过虚拟化漏洞突破网络隔离是一件难度较大,但并非不可能的事情。2.真实红蓝对抗场景下对利用稳定的要求比天府杯等破解竞赛高的多。3.能否将漏洞用于红
