关注我们
QRcode 邮件联系 新浪微博
分类:web安全
  混在运维部的安全员说“端口与口令安全”

混在运维部的安全员说“端口与口令安全”

‍ ‍ *本文作者:liong03;本文属FreeBuf 原创奖励计划,未经许可禁止转载。


1.   前言
先简单自我介绍一下,其实,我是一个安全工程师。现就职于某互联网金融企业负责公司整体网络安... ‍ ‍
  CVE

CVE

‍ ‍ *本文原创作者:tocttou,本文属FreeBuf原创奖励计划,未经许可禁止转载

在本文中,我向大家分享一个我在去年发现的Edge浏览器的漏洞。这个漏洞利用了浏览器XSS过滤器的缺陷,来绕过... ‍ ‍
  网易云音乐PC客户端加密API逆向解析

网易云音乐PC客户端加密API逆向解析

‍ ‍ *本文作者:Tan993,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

1、前言
网上已经有大量的web端接口解析的方法了,但是对客户端的接口解析基本上找不到什么资料,本文主要分... ‍ ‍

远丰集团旗下CMS疑有官方后门

‍ ‍ *本文作者:温酒,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
起始

这个后门是在去年的某次渗透测试中发现的,但是因为时间点比较敏感,客户也未修复,就还未披露。
他们在... ‍ ‍
  CSRF(跨站点请求伪造)在Flash中的利用

CSRF(跨站点请求伪造)在Flash中的利用

‍ ‍ 0×00 前言
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨... ‍ ‍
  分析CVE

分析CVE

‍ ‍
前言
每周我们都能听到或看到许多关于安全漏洞的预警或报告,虽然看上去大多数的漏洞都千篇一律,但对于我们渗透测试人员而言,其中的一些思路方法和利用点却尤为吸引我们的... ‍ ‍

一秒找出用时间和随机数生成的上传文件名

‍ ‍ * 本文作者:golang,本文属FreeBuf原创奖励计划,未经许可禁止转载
在做渗透测试或者ctf比赛的时,常遇到一种任意文件上传漏洞,上传后的文件名,是使用时间加随机数生成的。常见的如p... ‍ ‍
  如何科学合理薅FreeBuf活动“羊毛”

如何科学合理薅FreeBuf活动“羊毛”

‍ ‍ 过年前FreeBuf推出一个叫“网藤杯智能安全机器人养成计划”的活动,刚开始以为是一个养蛙类型的活动,研究过后发现,这是一个上传数据拿奖品的活动,看着礼品还挺诱人的,作为薅羊毛... ‍ ‍
  什么样的爬虫才是好爬虫:Robots协议探究

什么样的爬虫才是好爬虫:Robots协议探究

‍ ‍ 网站的管理者们通常会有这样一种心态:一方面期待百度、Google这样的搜索引擎来抓取网站的内容,另一方面又很厌恶其他来路不明的网络爬虫抓取自己的信息。正是因为这样,才有“好... ‍ ‍
  任意用户密码重置(四):重置凭证未校验

任意用户密码重置(四):重置凭证未校验

‍ ‍ *本文作者:yangyangwithgnu,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

在逻辑漏洞中,任意用户密码重置最为常见,可能出现在新用户注册页面,也可能是用户登录后重置密码的... ‍ ‍

Web安全学习:如何自我定位与制定学习计划

‍ ‍ 一   简介
通过本篇文章,您可以了解一个web安全从业人员所具备的大致知识面,同时我也制定了一个循序渐进的学习计划,用以帮您找准自己的定位,并可以自己制定适合自己的学习计... ‍ ‍
  百度安全的OpenRASP项目,究竟是什么?

百度安全的OpenRASP项目,究竟是什么?

‍ ‍ 聊到最后,c0debreak 打开了一个“机密文档”给我看。这是一个宅男积累多年的秘密,我眯着眼好奇地凑过去,里面密密麻麻的都是……对最新网络安全技术的研究笔记。
“我... ‍ ‍
  WAF开发之Cookie安全防护

WAF开发之Cookie安全防护

‍ ‍ 一、前言
Cookie安全防护功能主要实现以下两个目标
1、防止XSS攻击盗取用户Cookie
2、防止基于Cookie的SQL注入\命令注入\其他乱七八糟的攻击

优点
1、安全(有破解思路麻... ‍ ‍
  SQL注入 | 9种绕过Web应用程序防火墙的方式

SQL注入 | 9种绕过Web应用程序防火墙的方式

‍ ‍ Web应用程序防火墙(WAF)的主要作用是过滤,监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙充当的则是服务... ‍ ‍
  鸡肋CSRF和Self

鸡肋CSRF和Self

‍ ‍ *本文原创作者:三只小潴,本文属FreeBuf原创奖励计划,未经许可禁止转载

昨天同事问了我一个问题:登录页面的CSRF有用么? 我也没怎么想,就回了句:没用。而事实上一般 SRC 也不会收这... ‍ ‍
  详细分析使用Certutil解码的Office恶意软件

详细分析使用Certutil解码的Office恶意软件

‍ ‍ 最近发现使用certutil进行解码的office恶意软件,这种恶意软件通过OLE机制落地通过BASE64编码的恶意软件,然后通过调用certutil来进行解码恶意软件,并通过宏来启动恶意软件,这样... ‍ ‍
  代码签名证书买卖黑市的真实情况

代码签名证书买卖黑市的真实情况

‍ ‍ 代码签名证书
根据研究人员的调查发现,目前地下网络犯罪市场买卖代码签名证书的情况越来越频繁了,而这些伪造的代码签名证书可以帮助攻击者让自己的恶意软件绕过安全防护产... ‍ ‍
  HTTPS安全与兼容性配置指南

HTTPS安全与兼容性配置指南

‍ ‍ 自从MySSL推出之后,很多网站HTTPS检测评分都达到了A或者A+,但在看检测结果的时候,发现类似于百度和淘宝这类大用户群的网站居然没有评级到A或者在使用的加密套件上有橙色的加密... ‍ ‍
  详细分析使用Certutil解码的Office恶意软件

详细分析使用Certutil解码的Office恶意软件

‍ ‍ 最近发现使用certutil进行解码的office恶意软件,这种恶意软件通过OLE机制落地通过BASE64编码的恶意软件,然后通过调用certutil来进行解码恶意软件,并通过宏来启动恶意软件,这样... ‍ ‍
  SQL注入:9种绕过Web应用程序防火墙的方式

SQL注入:9种绕过Web应用程序防火墙的方式

‍ ‍ Web应用程序防火墙(WAF)的主要作用是过滤,监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙充当的则是服务... ‍ ‍