首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 微信私钥泄露的危害：一个微信公众号漏洞案例分析 岚岚自语2016-08-11共422278人围观 ，发现 30 个不明物体WEB安全漏洞 前言 学校有个比较知名的公众号，用了两年感觉还是非常不错的，查成绩查公交查图书啥都有。 一个偶然的机会得到了公众号接口的权限，发现很多「有趣的事」，据说还可以黑产。目前该漏洞已经提交给微信号开发方完成修复，这篇文章主要告诫各位微信公众号开发人员关于WECHAT_APPID和WECHAT_APPSECRET的…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 暴力破解工具Hydra 8.0版本发布 子夏2014-06-13+2共943322人围观 ，发现 17 个不明物体工具 THC-HYDRA是一个支持多种网络服务的非常快速的网络登陆破解工具。这个工具是一个验证性质的工具，它被设计的主要目的是为研究人员和安全从业人员展示远程获取一个系统的认证权限是比较容易的！ 新版本代码迁移到了github，增加了对redis的支持，以及增加SMB模块的unicode支持等等。具体更下如下： CHANGELOG…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 BASH漏洞初挖掘 Feynman2014-09-25共166479人围观 ，发现 14 个不明物体漏洞资讯 最近，BASH爆出来一个远程代码执行的漏洞CVE-2014-6271。 BASH除了可以将shell变量导出为环境变量，还可以将shell函数导出为环境变量！当前版本的bash通过以函数名作为环境变量名，以“（）{”开头的字串作为环境变量的值来将函数定义导出为环境变量。 此次爆出的漏洞在于BASH处理这样的“函数环境变量”的时候，并没…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 远程管理软件PcShare全套源码下载 无可非议2014-07-30+12共586398人围观 ，发现 69 个不明物体工具 PcShare是一款功能强大的远程管理软件，可以在内网、外网任意位置随意管理需要的远程主机，有超强的隐藏和自我修复等功能。该软件是由国内安全爱好者无可非议开发，并授权freebuf独家发布，作者的QQ是4564405，转载或者修改版本请打上作者的标记，也是对辛勤劳动的尊重。 源代码版本分两个（企业版本和个人版本），编译…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 国产WEB漏洞扫描器 – 北极熊扫描器 hyc662013-12-25共786853人围观 ，发现 54 个不明物体工具     北极熊扫描器是一款简单的WEB扫描器，但是功能却是非常丰富，除了基础性的二级域名检测和C段之外，额外提供了搜索引擎抓取站点。可惜的是目录扫描暂时无法跳过假的404，但支持多任务执行，支持延迟（降低速度，以免被安全软件拦截）同时少见的还有代码审计功能，可以让管理员快速进行白盒测试，网站代码中的隐藏木马等检测，速度快……

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 中间人攻击-DNS欺骗 Heee2012-08-08共560653人围观 ，发现 12 个不明物体系统安全 本文由Freebuf会员Heee翻译自国外网站，转载请注明出处。 =================================== 在前面的文章（中间人攻击ARP毒化）中，我们讨论了黑客危险的攻击和实用的ARP中毒原理。在本文中，我将首先探讨检测和防止ARP中毒（或ARP欺骗）攻击，然后我将回顾其他的中间人攻击-DNS欺骗。 AR…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 吐槽国内各大公司的漏洞报告平台 扫地僧2013-07-01共479718人围观 ，发现 40 个不明物体其他观点 先自我介绍下，笔者入安全圈已近十载，目前在某金融单位负责渗透测试工作。最近一年随着各大公司的漏洞报告平台搞得如火如荼，因为笔者单位可能也要搞类似的项目，所以笔者就把各大公司的平台全部体验了一遍，根据这些漏经历，吐槽下各大公司的漏洞平台。 一、腾讯安全应急中心（TSRC） 网址：http://security.tencent.com…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 BackdoorMe：功能强大的自动化后门 dawner2016-01-18+6共167495人围观 ，发现 2 个不明物体工具系统安全 本文中介绍的工具带有一定的攻击性，请合理合法使用。 Backdoorme是一个拥有强大能力的Unix后门，其使用了强扩展性的metasploit接口。在未来，这种依赖性随着这款的工具的扩展会逐渐降低。这里，我们给出配置SSH的说明。 使用方法 Backdoorme有着一系列内置的Backdoors（后门）、…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 百度系应用WormHole漏洞细节分析 gh0stbo2015-11-03+15共436609人围观 ，发现 29 个不明物体头条漏洞 报告来源：趋势科技 百度moplus SDK的一个被称为虫洞（Wormhole）的漏洞被报导后“一石激起千层浪”，它被植入到14000款app当中，这些app有接近4000个都是由百度出品的。该漏洞被中国的一个漏洞报告平台wooyun.org所发现。 然而，根据我们对这个安全漏洞的研究，发现Moplus SD…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 恶意代码的静态分析技术 月尽西楼2015-09-16+15共204215人围观 ，发现 12 个不明物体系统安全 0×00 概述 静态分析技术通常是研究恶意代码的第一步，是分析程序指令与结构来确定功能的过程，此时程序不是在运行状态的。 1. 反病毒软件确认程序样本恶意性 2. 使用hash识别恶意代码 3. 文件的字符串列表，使用函数还有文件头信息分析 尽可能多的搜集信息，对目标就更加了解。 0×01 反病毒扫描 反病毒软件显然不完美，主要依…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 中国黑客在Pwn2Own 2016上是怎样一种存在？ GeekPwn2016-03-17共434302人围观 ，发现 21 个不明物体资讯 AlphaGo在战胜李世石后，谁会最终战胜它？ 或许Pwn2Own会让它望而却步，因……为……狗…….有……漏……洞…… 诞生自2007年的Pwn2Own现已经成为奖金额最高的黑客大赛。作为安全界最受瞩目的赛事，今年在加拿大温哥华举办的Pwn2Own首次设立了“破解大师”（Master of Pwn Aw…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 Struts2再爆远程代码执行漏洞 st4rw00d2013-05-22共633649人围观 ，发现 30 个不明物体漏洞 摘要  Apache官方的struts2产品，最近出了一个远程代码执行漏洞，编号“S2-013”，目前是0DAY，官方没有修补方案出现。 http://struts.apache.org/development/2.x/docs/security-bulletins.html — （公告） 官方安全公告给出了编号和简要介…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 恶意软件模式匹配利器 – YARA IDF_Lab2014-02-19共258644人围观 ，发现 2 个不明物体系统安全 YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具（由virustotal的软件工程师Victor M. Alvarezk开发），使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息，当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成，并阐述其逻辑。YA…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 Web安全漏洞被动扫描工具—Watcher v1.5.6(Fiddler插件) phper2013-01-10共149041人围观 ，发现 4 个不明物体工具  Watcher是一个实时的，被动分析基于HTTP协议的Web应用程序的安全工具(Fiddler插件)。所谓被动分析就是指它不会对现有系统产生任何破坏。Watcher可以被安全的用于分布式网络，共享式网络和专用宿主网络。Watcher能够自动检查这些问题：cookie设置、SSL配置、…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 Wifi密码破解实战 schip2017-02-23共756110人围观 ，发现 72 个不明物体无线安全极客 *原创作者：schip，本文属FreeBuf原创奖励计划，未经许可禁止转载 声明：此文章仅供研究学习和技术交流，请勿用于破解他人 WIFI 密码！如果你有这些时间和精力，完全可以新买一坨无线路由器，何必蹭别人家的无线网！！！！ 前言 网上类似的教程不少，但是大部分都是没讲完整，或者搭建一个足够简单的环境，使用类似123456这样的简…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 撞库攻击：一场需要用户参与的持久战 lanlan2014-03-19+20共828483人围观 ，发现 26 个不明物体数据安全观点 一，背景： 用户数据泄露一直是如今互联网世界的一个焦点，从最近的京东撞库抹黑事件，到之前的CSDN，如家用户数据的泄露，服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战。 对于大多数用户而言，撞库可能是一个很专业的名词，但是理解起来却比较简单，撞库是黑客无聊的“恶作剧”，黑客通过收集互联网已泄露…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 Hijack攻击揭秘 lanlan2014-01-10+8共171872人围观 ，发现 9 个不明物体WEB安全 概述 Clickjacking是最近新兴的针对WEB前端的攻击手段。它通常使用一个ifream覆盖掉当前页面，欺骗用户点击iframe中的恶意内容。 Likejacking通常是针对社交网站的一种攻击手法，攻击者会欺骗用户去点击一个伪造的图标或按钮。如今攻击者已经研究出了大量的方法，来把官方的按钮模仿的惟妙惟肖。 Clickjac…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 深度：震网病毒的秘密（一） fubeerf2013-12-03+10共614909人围观 ，发现 24 个不明物体系统安全 引子： 看到litdg翻译的《震网的秘密兄弟（一）》，感觉有些地方跟我想象的不一样，所以在litdg兄的基础上就行了更新，我是搞工业自动化的，恰巧阴差阳错的跟信息安全有了些交集，所以以ICS（工业控制系统）的视角，来阐述我对原文的理解。 真正用来破坏伊朗核设施的震网病毒，其复杂程度超出了所有人的预料。 作为第一个被发现的…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 逆向工程（一）：汇编、逆向工程基础篇 VillanCh2015-11-24共1068369人围观 ，发现 44 个不明物体周边系统安全 本文原创作者：VillanCh 本系列文章将讲解逆向工程的各种知识，难度由浅入深。  汇编是逆向工程的基础，这篇文章讲解并不深入但是覆盖了你刚开始学习汇编需要了解的所有基础知识！汇编语言是一切程序的起点和终点，毕竟所有的高级语言都是建立在汇编基础之上的。在许多高级语言中我们都需要相对明确的语法，但是在汇编中，…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 如何在BeEF中使用metasploit颠覆你的浏览器 luke2012-07-02共609937人围观 ，发现 13 个不明物体工具 小编：感谢Luke投递，也希望Luke以后能为广大安全爱好者带来更多好书。 BeEF是目前欧美最流行的web框架攻击平台，它的全称是 the Browser exploitation framework project.最近两年国外各种黑客的会议都有它的介绍，很多pentester对这个工具都有很高的赞美。通…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 如何打造一款可靠的WAF（Web应用防火墙） 碳基体2014-12-15+20共617572人围观 ，发现 44 个不明物体WEB安全工具 之前写了一篇《WAF防御能力评测及工具》，是站在安全运维人员选型WAF产品的角度来考虑的（优先从测试角度考虑是前职业病，毕竟当过3年游戏测试?!）。本篇文章从WAF产品研发的角度来YY如何实现一款可靠的WAF，灵感来自ModSecurity等，感谢开源。 本片文章包括三个主题 (1) WAF实现 WAF包…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 SQL注入之SQLmap入门 Taskiller2014-03-27+19共4752674人围观 ，发现 49 个不明物体WEB安全 什么是SQLmap？ SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具，有一个非常棒的特性，即对检测与利用的自动化处理（数据库指纹、访问底层文件系统、执行命令）。 读者可以通过位于SourceForge的官方网站下载SQLmap源码：http://sourceforge.net/projects/s…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 从零开始学CSRF Black-Hole2015-01-13共1393223人围观 ，发现 69 个不明物体WEB安全 为什么要拿CSRF来当“攻击手法系列”的开头篇呢？因为CSRF/XSRF我个人喜爱他的程度已经超过XSS了。如果说XSS是一个老虎，那么CSRF就是隐藏在暗处的蛇。 相信现在很多人不明白CSRF是怎么运作，他和XSS的不同是在哪里。我这里就逐步为大家解释，并从浅入深的介绍CSRF。 入门 我们先来看看CSRF和XSS的工作原…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 走近科学：揭秘全美第一黑客组织Anonymous（匿名者）的装备库 xiao_hen2013-09-05共3910413人围观 ，发现 88 个不明物体头条工具 本文关注的是世界著名的黑客组织Anonymous（匿名者）。“我将描述他们的攻击方法和方式的计划,但我们将聚焦更多关于他们使用武器或工具。"Anonymous这个词仅仅意味着没有名字的匿名或身份，该组织是一个派系的匿名黑客或黑客活动分子。 他们有自己的网站和IRC频道,定期举行聚会,…

首页 分类阅读 文库 专栏 公开课 商城 漏洞盒子 注册 | 登录 投稿 猪哥靓 认证作者等级：6 级注册日期：2012年06月21日 认证信息：安恒信息安全工程师 0 金币 500 银币 0 漏洞盒子Rank 发私信 他的文章 他的点评 标题 时间 操作 入侵美国国家实验室盗卖超级计算机资源的黑客被判处18个月监禁 资讯 2013-12-13 查看 欧洲黑客团体Inj3ct0r利用0-Day漏洞攻击苹果粉丝论坛 资讯 2013-11-19 查看 英国NCA向公众发出警告：CryptoLocker恶意程序肆虐网络 …