关注我们
QRcode 邮件联系 新浪微博
分类:web安全
  勒索病毒“GPGQwerty”的分析与复现

勒索病毒“GPGQwerty”的分析与复现

‍ ‍ *本文作者:LiukerTeam,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

3月初,勒索软件“GPGQwerty”是由 @MalwareHunterTeam 发现,它利用了合法的软件 GnuPG 来加密受害者... ‍ ‍
  如何利用暴力破解攻击打进“敌人”内部

如何利用暴力破解攻击打进“敌人”内部

‍ ‍ 写在前面的话
在很多现实的攻击案例中,大多数攻击者都是通过暴力破解的方式来入侵目标系统的,此时攻击者主要利用的是弱密码以及密码管理方面的安全问题。Web应用和Web服务... ‍ ‍
  一种绕过限制下载论文的思路

一种绕过限制下载论文的思路

‍ ‍ * 本文作者:tammypi,本文属FreeBuf原创奖励计划,未经许可禁止转载
注:本文下面的内容仅讨论绕过思路,作为技术交流之用。大家下载论文还是应该通过正规渠道,付费下载,尊重各位站长... ‍ ‍

QtWebKit爬虫与去重规则

‍ ‍ *本文作者:DX安全团队—-0d9y,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。  
一个漏扫程序想要检测更多的漏洞,那么他配备的爬虫一定得给力,能够爬取很多其他爬虫爬不到的... ‍ ‍
  看我如何利用Webhook绕过支付请求

看我如何利用Webhook绕过支付请求

‍ ‍ 写在前面的话
在深入了解漏洞奖励计划中的安全漏洞时,我们往往需要寻找一些用户不可见的功能下手。支付Webhook就是一种典型例子,像Stripe或Braintree这样的支付服务提供商... ‍ ‍
  那些年绕过的反爬手段

那些年绕过的反爬手段

‍ ‍ *本文原创作者:manwu91,本文属FreeBuf原创奖励计划,未经许可禁止转载

笔者第一份工作就是以java工程师的名义写爬虫,不得不说第一份工作很重要啊,现在除了爬虫不会干别的,到现在... ‍ ‍
  实例讲解False盲注基础原理

实例讲解False盲注基础原理

‍ ‍ 0×01 前言
false盲注有些时候可以绕过一些WAF,也是容易被忽视的细节。本文的目的在于通过做CTF的同时来学习注入原理,同时也运用到自身的能力。这里只是简单说一些我自己的理... ‍ ‍
  在Go中使用反向代理进行网络钓鱼测试

在Go中使用反向代理进行网络钓鱼测试

‍ ‍ 免责声明:本文仅用于教育目的。切勿使用文中提及的技术从事任何非法活动!
对于一个攻击者来说,要想实施一次网络钓鱼攻击,往往需要做大量的准备工作。例如搭建钓鱼站点,引诱受... ‍ ‍
  关于SQL注入漏洞的4个误解

关于SQL注入漏洞的4个误解

‍ ‍ 预告:如果你对SQL注入方面的攻击与防御技术感兴趣。那么,欢迎你参加我们在3月16号星期五早上九点举办的,免费在线GroupBy会议。

SQL注入已是一个老生常谈的话题,但时至今日... ‍ ‍

Solveme.peng.kr平台Web题解

‍ ‍ 前言
最近发现了一个Web练习平台:http://solveme.peng.kr/chall里面所有的Web都是源码审计,感觉网上相关题解很少,于是抽空做了一下,写了一篇文章,欢迎大家和我多多交流!

warmup... ‍ ‍
  挖洞经验 | 看我如何在Jive

挖洞经验 | 看我如何在Jive

‍ ‍

写在前面的话
很多渗透测试人员会对各种各样不同的服务以及应用程序进行安全测试,但他们往往会忽略自己的产品和服务。在这种情况下,他们就可能成为攻击者的首要目标,毕... ‍ ‍
  CTF实战:USV

CTF实战:USV

‍ ‍ 前记
最近在某平台上down了一个CTF靶机玩玩,感觉还挺有意思的,故写出我的解题思路。
根据官方给的信息本靶机一共有5个flag,分别为:Croatia, France, Italy, Laos, Phillipp... ‍ ‍
  爬虫代理搭建与批量安装

爬虫代理搭建与批量安装

‍ ‍ 代理对于搞爬虫的都不会陌生。公司有一批阿里云服务器用于分布式增量抓取,但对于一些封ip且只需进行一次全量抓取的数据源,或数据量级较小时,如果部署到爬虫集群上又太费事不值... ‍ ‍
  谷歌为G

谷歌为G

‍ ‍ Google 为 G Suite 服务推出了全新安全功能,包括企业云计算,生产力和协作工具。
现在企业用户可以使用 Gmail 来绑定企业自定义域名,并进行商务和企业内部的邮件联络。
而G Sui... ‍ ‍
  使用SQLMap进行Access注入

使用SQLMap进行Access注入

‍ ‍ *本文原创作者:simeon,本文属FreeBuf原创奖励计划,未经许可禁止转载
1.1使用sqlmap进行access注入
对于存在access注入的站点,可以通过手工注入或者工具注入来获取access数据库... ‍ ‍
  安卓四大组件审计实验(drozer)

安卓四大组件审计实验(drozer)

‍ ‍ *本文作者:烟波渺渺正愁予,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
0×00前言
四大组件是组成安卓应用的关键部分,每个应用都是由一个或者多个组件组成。主要有4个组件... ‍ ‍
  关于网络钓鱼的深入讨论

关于网络钓鱼的深入讨论

‍ ‍ 网络钓鱼相信大家都不会太陌生。近年来,随着人们网络安全意识的提升,网络钓鱼的手法也变得越来越高明。攻击者的社工经验愈加丰富,钓鱼技术也愈加的先进和新颖。作为企业,通... ‍ ‍
  重新认识被人遗忘的HTTP头注入

重新认识被人遗忘的HTTP头注入

‍ ‍ 前言
注入类漏洞经久不衰,多年保持在owasp Top 10的首位。今天就聊聊那些被人遗忘的http头注入。用简单的实际代码进行演示,让每个人更深刻的去认识该漏洞。
HOST注入
在以往h... ‍ ‍
  从外部Active Directory获取域管理员

从外部Active Directory获取域管理员

‍ ‍ 这是我在博客发的第一篇非web类的博文。我曾是一名Web开发人员,我对信息安全的兴趣也从 web 开始。从最初的兼职到如今的全职,活动目录(Active Directory)测试已成为我最喜欢... ‍ ‍