记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

深入考察SAML XML注入漏洞

在进行身份验证控制和身份管理时,经常会使用单点登录(SSO)技术,由于该技术不仅便于用户使用,同时安全性也较高,所以,它很快就在各种组织和大型在线服务中流行开来。这样做的好处是显而易见的:对于终端用户来说,对单一服务进行身份验证就能获得对所有所需应用的访问权限,这让生活方便了许多;而对于管理员来说,可以在单个位置来控制凭据和权限。然而,凡事有利即有弊——这种便利性也为攻击者带来了新的机会:SSO身份验证流程中只要出现一个漏洞,就可能带来灾难性的后果,因为可能会暴露组织使用的所有服务中存储的数据。
发布时间:2021-04-13 09:53 | 阅读:643 | 评论:0 | 标签:注入 漏洞

数据中台架构拆分:高可用、高可靠、高性能架构设计实践篇

去年年底,网传阿里董事局主席张勇,在阿里内网发帖称“现在阿里的业务发展太慢,要把中台变薄,变得敏捷和快速。”此言一出激起千层浪,难道中台概念真成也阿里败也阿里?有人戏称阿里“过河拆中台”,其实比喻的非常贴切。因为中台本身就是基于业务所诞生的战略方案,当业务需求变化时,中台必然也要做出调整!如今,“数据驱动未来”已成行业共识,3000 万家传统企业在互联网红利衰减后,如何利用数据中台激发全新增长引擎?作为技术人,我们又该如何站上风口?“拆中台”事件后,2021 新元年我们需要重新看待和理解中台技术。
发布时间:2021-04-13 09:10 | 阅读:1038 | 评论:0 | 标签:无

Windows手工入侵排查思路

Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息。基于以上,我们总结了Windows服务器入侵排查的思路,从Windows入侵现象、启动方式、安全日志等方面,对服务器最容易出现安全问题的地方进行入手排查。01、检查系统账号(1)检查远程管理端口是否对公网开放,服务器是否存在弱口令。
发布时间:2021-04-13 09:10 | 阅读:674 | 评论:0 | 标签:入侵 windows

你管这破玩意叫微服务高并发?

当下程序员最苦恼的是什么? “面试造火箭,入职拧螺丝” 每次面试的时候总是被问各种有难度的问题,明明以后不一定会碰到这些场景,但是却要求你必须会。 “拧螺丝”确实是一个基本工作,大多数程序员都能做到,而大厂需要的则是能够应对突发情况、可以处理众多需求的程序员。大厂每天面对的是海量信息,一旦出现问题,就不是只会“拧螺丝”的程序员可以解决的了。 所以想要进入大厂、挑战高薪,你拥有的能力必然要远高于你当下的工作内容。
发布时间:2021-04-13 09:10 | 阅读:1000 | 评论:0 | 标签:微服务

注意!某知名国产软件被曝携带木马病毒

来自:扩展迷EXTFANS(ID:infinitydaily)据火绒威胁情报系统监测,火绒工程师发现奇客PDF转换器携带恶意代理模块,正在通过下载站下载器进行推广。据了解,近期火绒接到许多用户反馈称电脑会莫名卡顿,CPU占用率高。且进程svchost.exe、FnClientService.exe、FnClientService20.exe之一会访问大量的陌生网址。最终经工程师分析发现,用户电脑出现此现象正是由于安装奇客PDF转换器所导致的。火绒工程师分析发现,奇客PDF转换器主要是通过下载站的下载器进行静默传播推广。
发布时间:2021-04-13 09:10 | 阅读:894 | 评论:0 | 标签:病毒 木马

【系统底层】x64平台下inline hook的原理、实现与防御

作者论坛账号:fnv1c0x01 概述inline hook是一项改变函数调用控制流的技术。与传统的PLT(或IAT)表劫持,库打桩等技术不同,inline hook会修改函数本身(通常是头部的数个字节)来进行函数的hook。inline hook较PLT劫持更复杂,但是不会受到PLT劫持技术的诸多限制。例如PLT劫持/库打桩只能控制ELF导入的外部动态库函数,对于库内函数调用和本身程序内部函数调用无法hook。而inline hook几乎能适应所有情况。本文通过运行时库打桩引入,主要介绍Linux X64平台下inline hook的原理和实现,windows平台的相关实现其实异曲同工。
发布时间:2021-04-13 09:10 | 阅读:840 | 评论:0 | 标签:防御

APP抓包那点事

前言:兄弟团队凌晨安全的 Darkerror 师傅最近工作中遇到一些比较奇葩的App,一边测试一边搜集整理出了比较全的姿势。0x01 不走代理的App如何判断:连接Fiddler代理-->抓不到包-->关闭Fiddler后正常通信。
发布时间:2021-04-13 09:10 | 阅读:734 | 评论:0 | 标签:app

2021-4-13 实时更新~ (目前共收录 23个热门漏洞)

#渗透测试 4个 HW 2021 具体的漏洞大家请转到在线文库~目前会在公众号,知识星球以及交流群实时漏洞预警并复现有关漏洞和发布相关POC以及EXP~在?
发布时间:2021-04-13 03:56 | 阅读:2787 | 评论:0 | 标签:漏洞

什么是SQL注入(SQLi)以及如何防止它

什么是SQL注入(SQLi)以及如何防止它SQL注入(SQLi)是一种注入攻击,它使执行恶意SQL语句成为可能。这些语句控制Web应用程序后面的数据库服务器。攻击者可以使用SQL Injection漏洞绕过应用程序安全措施。他们可以遍历网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容。他们还可以使用SQL Injection添加,修改和删除数据库中的记录。SQL注入漏洞可能会影响使用SQL数据库(例如MySQL,Oracle,SQL Server或其他)的任何网站或Web应用程序。犯罪分子可能会使用它来未经授权地访问您的敏感数据:客户信息,个人数据,商业秘密,知识产权等。
发布时间:2021-04-13 03:56 | 阅读:2291 | 评论:0 | 标签:注入 SQL

防御DDoS你做对了吗?这三点告诉你成功的关键在哪里

速度对于防御DDoS攻击起着至关重要的作用。大量“突发性洪水”攻击会在一瞬间突然出现,并在几秒钟内增加至数百千兆字节。起初应用可能看起来工作正常,但之后会突然无法使用,而且找不到明显的原因。当用户已经意识到受到攻击时,可能已经对业务产生了严重的损害。 DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一种通过很多“僵尸主机”(即被入侵或可间接利用的主机)向受害主机发送大量网络数据包,造成网络阻塞或服务器资源耗尽,进而导致受害主机拒绝服务的攻击,且无法通过给服务器打补丁或安装防火墙的方式对其进行防护,因此难以防范、危害较大。
发布时间:2021-04-13 03:45 | 阅读:2881 | 评论:0 | 标签:ddos 防御

突发:以色列“摩萨德”发动网络攻击,伊朗核设施再遭破坏!

2021年4月10日,伊朗总统鲁哈尼在伊朗核技术日线上纪念活动上下令启动纳坦兹核设施内的近200台IR-6型离心机,开始生产浓缩铀。(IR-6型离心机生产浓缩铀的效率是第一代IR-1型的10倍)而就在开始生产浓缩铀后第二天(4月11日),伊朗纳坦兹核设施发生了断电事故。以色列《耶路撒冷邮报》等媒体援引西方国家情报人士的话称,是以色列国安机构“摩萨德”实施的网络攻击。伊朗方面当晚称,所谓的“断电事故”是“恐怖主义”行为。据报道,伊朗纳坦兹核设施一直是以色列网络攻击的目标。2010年,以色列和美国联合行动,利用Stuxnet电脑病毒攻击伊朗纳坦兹核设施,造成重大破坏。
发布时间:2021-04-13 01:19 | 阅读:3735 | 评论:0 | 标签:攻击 网络

【安全热点周报】第189期:CVE-2021-24086,Windows TCP/IP拒绝服务漏洞POC已公开

#安全监测报告 132个     
发布时间:2021-04-13 01:19 | 阅读:4305 | 评论:0 | 标签:漏洞 CVE windows 安全

Jellyfin任意文件读取复现

#漏洞 15 #thelostworld 15 #漏洞复现 15 Jellyfin任意文件读取复现POC:GET /Audio/anything/hls/..\data\jellyfin.db/stream.mp3/ HTTP/1.1GET /Videos/anything/hls/m/..\data\jellyfin.db HTTP/1
发布时间:2021-04-13 01:19 | 阅读:4541 | 评论:0 | 标签:无

法定数字货币创新研究2021年开放课题

为贯彻落实《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》关于“稳妥推进数字货币研发”的总体要求,助力构建法定数字货币协同创新研究体系,中国人民银行数字货币研究所(以下简称数研所)现发布“法定数字货币创新研究开放课题(2021年度)”(以下简称开放课题)。开放课题以“提升能力、破解难题、强化应用、构建生态”为目标,在法定数字货币理论体系、前沿技术、应用和功能创新等方面开展开放式创新研究。一、总体目标构建法定数字货币协同创新研究体系,促进法定数字货币产业生态蓬勃发展,体现“创新性、示范性、实用性”。
发布时间:2021-04-13 01:19 | 阅读:3414 | 评论:0 | 标签:无

自用渗透工具资源列表

#资源整理 1个 点击上方蓝字关注我们      最近发现电脑越来越慢...然后重装了一下系统,在配置环境和安装脚本的时候顺便整理了一下自己常用的工具,各位需要可以直接前往官方仓库进行下载。爆破脚本/工具名称               简介Github地址t14m4t自动探测开放端口并暴力破解攻击。
发布时间:2021-04-13 01:19 | 阅读:4576 | 评论:0 | 标签:渗透

新华三于英涛:进军千亿级企业,做市场top 3的产品

“我们有秘籍把市场做深做透。”“我们的目标是进军千亿级企业。”“不能做到市场前3的东西不予立项。”于英涛在2021 NAVIGATE 领航者峰会上提出了上述目标,作为紫光股份董事长兼新华三集团首席执行官,他向外界阐述了“云智原生”战略,并发布了数字大脑2021、紫光云3.0、智能网络处理器“志擎”、云屏MagicHub以及H3C PC终端产品,共计5大新品。紫光股份董事长兼新华三集团首席执行官 于英涛4月9日,紫光集团和新华三集团主办的2021 NAVIGATE 领航者峰会在南京启幕。
发布时间:2021-04-12 23:17 | 阅读:3938 | 评论:0 | 标签:无

蓝队的自我修养之如何从流量中检测 WebShell | 攻防实战经验分享

#攻防实战经验 3个 1背景众所周知,攻防演练过程中,攻击队入侵企业网站时,通常要通过各种方式获取 webhell,从而获得企业网站的控制权,然后方便实施之后的入侵行为。在冰蝎、哥斯拉这类加密型 webshell 工具出现之前,中国菜刀、蚁剑这类工具常被攻击队使用,与菜刀和蚁剑不同,冰蝎和哥斯拉使用加密隧道传输数据,不易被安全设备发现,同时,无文件内存 webshell 的兴起,给检测带来了更大的压力。因此,对这类加密型 webshell 和无文件内存 webshell 的检测是非常有必要的。2难点当前,这类加密型 webshell 检测存在以下难点:使用加密隧道传输数据,无明文通讯特征。
发布时间:2021-04-12 22:42 | 阅读:5661 | 评论:0 | 标签:shell 攻防

每日攻防资讯简报[Apr.12th]

0x00漏洞1.QNAP QTS Surveillance Station插件中的内存损坏漏洞会导致预认证RCEhttps://ssd-disclosure.com/ssd-advisory-qnap-pre-auth-cgi_find_parameter-rce/ 2.利用Windows RPC?
发布时间:2021-04-12 22:42 | 阅读:4459 | 评论:0 | 标签:攻防

山西警方摧毁一条跨境黑色产业链!抓获犯罪嫌疑人14人!

关键词犯罪日前,山西临汾警方摧毁一条为网络违法犯罪提供技术服务的黑色产业链,抓获犯罪嫌疑人14名。犯罪嫌疑人利用软件解封QQ账号百万余次。截至2月8日,被解封的QQ账号中有7914个涉及全国8601起电信网络诈骗案件,涉案资金达6亿元。目前,临汾警方共抓获犯罪嫌疑人14名,扣押手机50部、电脑19台,收缴赃款238万元。2020年11月30日,山西省临汾市曲沃县公安局民警在工作中发现:临汾网民孙某为境外人员提供QQ账号解封业务。发现该线索后,曲沃警方展开侦查,并于2020年12月1日在孙某住处将其抓获。
发布时间:2021-04-12 22:42 | 阅读:4174 | 评论:0 | 标签:安全

工具|蓝队威胁情报收集溯源工具TIG

#2021HVV 5 #红蓝对抗 2 #工具 2 0x00 前言解决问题TIG (Threat Intelligence Gathering) 即威胁情报收集在蓝队进行溯源工作时,通常有以下场景:1、需要对 IP 的威胁情报信息、域名反查备案、IP 存活等信息进行查询2、需要对多个攻击 IP 进行查询为了提高蓝队在进行这项工作时的效率,为此简单编写了一个威胁情报收集的小工具。
发布时间:2021-04-12 22:42 | 阅读:5488 | 评论:0 | 标签:情报 威胁情报

3月工业互联网月度资讯汇总

政策规则三部门印发《国家车联网产业标准体系建设指南(智能交通相关)》3月17日,工业互联网专项工作组印发《工业互联网创新发展行动计划(2021-2023年)》(工信部信管〔2020〕197号,以下简称《三年行动计划》)。现就《三年行动计划》从九大关键点进行了解读,此次计划对支撑制造强国和网络强国建设,提升产业链现代化水平,推动经济高质量发展和构建新发展格局,都具有十分重要的意义。来源:工业和信息化部工信部印发《“双千兆”网络协同发展行动计划(2021-2023年)》3月25日,工信部发布《“双千兆”网络协同发展行动计划(2021-2023年)》(以下称“行动计划”)。
发布时间:2021-04-12 20:39 | 阅读:5378 | 评论:0 | 标签:工业

伊朗核设施断电,疑为以色列进行破坏性网络攻击

网络战场再次迎来了核设施网络打击,而这一次攻击还是发生在当年的"震网"攻击发生国伊朗,而攻击者同样是以色列,然后破坏性攻击的还是同一个地方:纳坦兹核设施。(纳坦兹核设施位于伊朗中部伊斯法罕省的沙漠中,主要部分建于地下,是伊朗铀浓缩计划的核心。纳坦兹核设施是受到国际原子能机构监督的几处伊朗核设施之一。)2021年4月10日,伊朗总统鲁哈尼在伊朗核技术日线上纪念活动上下令启动纳坦兹核设施内的近200台IR-6型离心机,开始生产浓缩铀。(IR-6型离心机生产浓缩铀的效率是第一代IR-1型的10倍)而就在开始生产浓缩铀后,伊朗纳坦兹核设施的配电系统就在第二天(4月11日)发生故障。
发布时间:2021-04-12 20:39 | 阅读:5098 | 评论:0 | 标签:攻击 网络

数据治理、数据管理、数据管控的关系

什么是数据治理?目前业界并没有对其概念的统一标准定义,我们可以这么认为,数据治理从本质上看就是对一个机构(企业或政府部门)的数据从收集融合到分析管理和利用进行评估、指导和监督(EDM)的过程, 通过提供不断创新的数据服务, 为企业创造价值。DGI(Data Governance Institute,数据治理研究所)认为,企业不仅需要管理数据的系统,更需要一个完整的规则系统以及规章流程。
发布时间:2021-04-12 20:39 | 阅读:5445 | 评论:0 | 标签:无

免费SSL证书都有哪些坑?速来观看

免费SSL证书几乎泛滥,很多对SSL证书有需求的用户一直在纠结免费SSL证书是否可用,免费SSL证书与收费的SL证书究竟有何区别。小编今天将这两种证书进行对比,仅供参考。一、申请方式不同免费SSL证书是自助申请,过程复杂,对于申请人员需要具备专业的知识,否则困难会很多,无法顺利申请;安信SSL证书提供的付费SSL证书,支持全方位服务,为用户解决一切申请中所遇到的包括资料不全,文件不正确,证书类型错误等等一切问题,让用在最短的时间内拿到证书。
发布时间:2021-04-12 20:39 | 阅读:5251 | 评论:0 | 标签:无

专业开发者眼中的 HarmonyOS:专访资深软件工程师李宁

“其实很久以前我就一直在寻找关于 HarmonyOS 的资料,只是华为的保密性做的非常好,并没有找到有用的内容。后来有个很好的机会到华为内部进行了 HarmonyOS 相关技术的学习与培训,从此便开始正式接触 HarmonyOS。”谈起与 HarmonyOS 的渊源,李宁颇为感慨,可以说是一拍即合,HarmonyOS 的探索之旅也从此开始。李宁具有多年的 Java、Android、Python、深度学习等开发经验,曾出版超过 40 多本 IT 畅销书,是企业 IT 内训讲师,制作视频课程超过 1000 小时。
发布时间:2021-04-12 20:39 | 阅读:5012 | 评论:0 | 标签:无

华为安卓用户:“小丑”竟是我自己? 注意警惕Joker恶意软件

HW期间,为防范钓鱼,即日起FreeBuf将取消投稿文章的一切外部链接。给您带来的不便,敬请谅解~Joker(小丑)恶意软件近年来似乎活动不断,入侵安卓应用商店感染应用程序,并不断升级隐藏和伪装手段。前有Joker实施窃听,后有Joker开展广告欺诈。4月12日,Doctor Web的一份报告指出,已有超过50万名华为用户从该公司的官方安卓商店下载了已遭Joker恶意软件感染的应用程序,这些应用程序订阅了高级移动服务。研究人员在AppGallery中发现了10个看似正常的应用程序,然而,其中却包含了连接恶意命令和控制服务器以接收配置和其他组件的代码。
发布时间:2021-04-12 20:39 | 阅读:4813 | 评论:0 | 标签:无

盘点分析 | 2021第一季度国内外重大数据泄漏事件

国内01 超10万条学生信息被泄露广东珠海有10万余条中小学生个人信息已经被非法泄露。近日,珠海网警在“净网2021”专项行动中破获一个侵犯公民个人信息的犯罪团伙,抓获6名嫌疑人,查获中小学生个人信息10万余条。02 全国首例适用民法典的个人信息保护案宣判1月8日,杭州互联网法院公开审理并宣判全国首例适用民法典的个人信息保护案。被告孙某未经他人许可,在互联网上公然非法买卖、提供个人信息4万余条,导致相关人员信息长期面临受侵害风险,被判处赔偿违法所得34000元,并公开道歉。
发布时间:2021-04-12 20:39 | 阅读:5397 | 评论:0 | 标签:大数据

你知道威胁手游安全的对象有哪些吗?

小道安全 Author 小道安全 小道安全 以安全开发、逆向破解、黑客技术、病毒技术、灰黑产攻防为基础,兼论程序研发相关的技术点滴分享。 点击上方蓝字关注我背景手游客户端的发展往往会吸引一批想从游戏中获利以及爱好逆向分析研究员的关注,因此手游的安全攻守之道就产生了。那么这些威胁对象的存在,给手游客户端的安全带来很大程度上的影响,所带来影响的结果就是:游戏中出现各种外挂脚本,游戏客户端破解版,打金工作室泛滥等等各种作弊行为的出现,最终导致手游客户端的平衡性被破坏,玩家流失,最终导致手游收入的降低。
发布时间:2021-04-12 20:03 | 阅读:5621 | 评论:0 | 标签:安全

聊一聊,如何让风控更贴近业务?

3月31日,由永安在线联合美团安全、汽车之家举办的系列沙龙——业务安全攻防实践沙龙(北京站)成功举办。围绕本次沙龙的主题“不同业务场景下的风险问题及攻防实践”,美团信息安全部交易安全负责人李岩,为出席现场的各位嘉宾,带来了干货满满的议题分享,和各位行业伙伴聊了聊,美团安全团队在业务安全这个领域积累的一些方法与经验。
发布时间:2021-04-12 20:03 | 阅读:5206 | 评论:0 | 标签:无

吹一波:这是最好用的网络安全工具了

你会使用的渗透工具多吗?每当有朋友问我这个问题的时候,我都会说“那必须的”。我没有给报过任何的学习课,一直以来,都遵循着心理学家(心灵鸡汤)的建议:自学,自我消化,自我感悟;坚信伟大人才的造就从来都不是老师教出来的。可当实际操作后,我发现情况已经糟透了——单纯用工具使用这一个指标来衡量的话,以我在阅读与自学上耗费的时间和精力,可以肯定的是,我好像一直没进步;重复,错误的操作方法;缺乏实践,受限于书本理论;体系认知能力偏低。
发布时间:2021-04-12 20:03 | 阅读:5930 | 评论:0 | 标签:网络安全 安全 网络

公告

❤永久免费的Hackdig,帮你成为掌握黑客技术的英雄⛄️

🧚 🤲 🧜

标签云

友情链接

微信扫一扫,快速掌握黑客技术⇩