记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

记一次对Tp二开的源码审计(Php审计)

冷水师傅投稿的xz 概述一款某单子Tp二开平台,开发者嚷嚷着要找人审计一下源码,说有预算,洞审出来之后人就没了,感觉审都审了,不做点什么不是浪费时间了,于是就发出来顺便讲一下在Tp二开情况下如何对源码进行审计,一般在拿到Tp二开的源码,首先要做的事,确认系统版本,然后利用搜索引擎寻找当前框架版本的漏洞,这次拿到手之后在确认下是Tp3.2.3的系统,其次就是查看TP的路由是默认还是说更改了,然后找到web类,对类中的代码一行一行的仔细审计,Tp3.2.3爆出的漏洞挺多的,结合前辈的各种经验,成功寻找到了开发中的雷区,这里直接贴代码。
发布时间:2021-05-17 22:09 | 阅读:392 | 评论:0 | 标签:审计 PHP

小米安全运营实践 ——基于DevSecOps框架的思考与实践

01前言多年来,业务及产品出现的安全问题越来越多。怎样最大程度在前期解决业务遇到的安全问题,降低业务修复安全问题的修复成本,是业务研发及安全人员共同遇到的问题。互联网业务的敏捷性导致不能以传统的安全卡点方式要求业务完成安全标准才能进行下一步动作。国内很多公司和企业都开始践行 DevOps 的研发模式,随着 DevOps 的发展,研发安全保障的思维和技术也在不断演化发展,其中一个重要的思想就是 DevSecOps。
发布时间:2021-05-17 22:09 | 阅读:398 | 评论:0 | 标签:安全运营 安全 DevSecOps

完美落幕 | EISS-2021企业信息安全峰会之北京站 5月14日成功举办

EISS-2021企业信息安全峰会之北京站NEWS2021年5月14日,由安世加主办的“EISS-2021企业信息安全峰会之北京站”在北京诺金酒店成功举办。峰会以”直面信息安全挑战,创造最佳实践案例“为主题,总共吸引了近500位来自各行业的企业安全负责人,安全专家出席。本届峰会是安世加在北京连续举办的第四次峰会,大会由原先下午两个分会场增加至四个,分会场主题分别调整为安全运营专场、数据安全专场、零信任专场、开发安全专场,每个分会场诚邀资深安全负责人担任出品人,议程紧扣行业热点话题,选题方向更加明确,为与会者带来更多具有实践与借鉴意义的干货分享。
发布时间:2021-05-17 22:09 | 阅读:559 | 评论:0 | 标签:安全

推荐一个低门槛的小众副业,有人靠它月收入2万多!

【常见问题】Q:为什么添加班主任微信后,一直没通过?A:因为需要手动入群,由于人数较多,班主任需要一定时间处理报名请求,请耐心等待哦!
发布时间:2021-05-17 22:09 | 阅读:417 | 评论:0 | 标签:无

青藤创始人&CEO张福荣登“中国产业创新百人榜”

近日,《中国产业创新百人榜》重磅发布,青藤创始人&CEO张福荣登榜单。据悉该评选由创业家&i黑马联合《证券日报》,携手五十多家知名投资机构,共同发起。旨在寻找产业中最具代表性的“产业创新推动者”,并将他们推上数字化时代的舞台中央,展示其独特价值。该评选历时四个月,由投资人、行业专家、媒体记者等组成的评审团,对三百多家参选企业的创业家进行层层打分,最终遴选出一百位在“产业创新性、企业成长力、人物领导力、产业贡献性”具有突出贡献的创业家。评委们纷纷表示:“这些人代表了中国商业和产业创新的未来”。
发布时间:2021-05-17 22:09 | 阅读:454 | 评论:0 | 标签:无

左晓栋:关于美国总统拜登签署《改善国家网络安全行政令》的评述

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786文 | 中国信息安全研究院 左晓栋5月12日,美国总统拜登签署发布了《改善国家网络安全行政令》。该行政令其实早已开始起草,最近几次严重的网络攻击事件加速了其出台,现对其评述如下。一、进一步推行联邦政府采购的标准合同条款,着重增加了网络安全信息通报要求信息共享对确保网络安全十分重要。但这项工作在美国始终遇到障碍。其核心问题是,私营部门缺少信息共享动力,他们常常抱怨,这种共享不应该是单向的,既然政府很少向企业共享信息,那凭什么企业要向政府提供信息呢?此外,美国的网络安全信息共享受到两部法律的限制。
发布时间:2021-05-17 22:09 | 阅读:503 | 评论:0 | 标签:网络安全 安全 美国 网络

1.1亿!拿科技公司当幌子!这个跨境赌博犯罪团伙被山东公安一举端掉

关键词跨境赌博山东枣庄警方从一条涉疫口罩诈骗案件核查线索入手,历经一年多,一举侦破了一起以信息科技公司为掩护搭建赌博平台的特大跨境网络赌博案件,冻结涉案银行卡2000余张、查扣犯罪嫌疑人涉案赌博账户1.1亿余元。办理银行卡500余套转手细查发现跨境赌博平台2020年3月4日,枣庄警方在日常工作中发现一条涉疫口罩诈骗案件核查线索。虽然正值疫情期间,但枣庄市公安局山亭分局随即展开深入调查,发现犯罪嫌疑人杨某某在枣庄市山亭区、市中区等地组织人员办理银行卡500余套,并将全部银行卡卖给化名“李博”的广州某信息科技公司法人周某某。
发布时间:2021-05-17 22:09 | 阅读:579 | 评论:0 | 标签:安全

【漏洞通告】XStream远程代码执行漏洞CVE-2021-29505

漏洞名称 : XStream远程代码执行漏洞CVE-2021-29505组件名称 : XStream影响范围 : XStream <=1.4.16漏洞类型 : 远程代码执行利用条件 :1、用户认证:不需要用户认证2、触发方式:远程综合评价 :<综合评定利用难度>:容易,无需授权即可远程代码执行。<综合评定威胁等级>:高危,能造成远程代码执行。
发布时间:2021-05-17 22:09 | 阅读:451 | 评论:0 | 标签:漏洞 CVE 远程 执行

谁会成为2021年RSAC创新沙盒冠军?

谁会成为2021年RSAC创新沙盒冠军?--从RSAC2021创新沙盒十强看网络安全创新趋势作者:奇安信战略研究中心RSAC的Innovation Sandbox(创新沙盒)一直被看成是全球网络安全行业创新风向标,4月15日(美国旧金山时间),RSA Conference 2021公布了本年度入围创新沙盒TOP10名单,这十家公司在各自细分技术领域有着独到的技术创新和独树一帜的理念,是我们学习和借鉴的榜样。
发布时间:2021-05-17 22:02 | 阅读:444 | 评论:0 | 标签:沙盒

【今日开播】第十二届蓝桥杯决赛特训营开播啦!国赛冲冲冲!

官方出品,真题串讲,决赛冲刺!第十二届蓝桥杯的国赛马上就要开始了!为了帮助同学们更好地备战决赛,大赛组委会特推出「第十二届大赛(软件类)决赛特训营」活动。我们邀请了蓝桥杯大赛组委会特邀专家、蓝桥学院副院长——郑未老师,为大家带来连续 10 天的免费直播教学,以过去五年蓝桥杯的决赛真题为核心内容,筛选有代表性的真题进行讲解,帮你:理清决赛真题解析思路;提高解题能力取得更好的名次!01时间安排本次特训营将围绕C/C++程序设计B组,JAVA软件开发C组进行深度解析,每晚 7 点开始,大家可以根据自己的组别,按时参加直播。
发布时间:2021-05-17 19:30 | 阅读:1553 | 评论:0 | 标签:无

黑灰产情报某针对地产营销作弊工具利用微信扫码CK号作恶

黑灰产情报周报是永安在线开通的新栏目,基于永安在线的业务安全情报平台及长期的黑灰产研究,旨在为风控从业者提供最新的行业趋势分析及动态。一、概述本周猎人君发现:在数据泄露风险情报发现某钱包发生贷款数据泄露;在API风险情报发现某运营商查询手机号码办理状态接口被攻击达18万次;在黑产作恶工具风险情报发现某地产活动助力工具嵌入微信扫码平台作恶;在黑产交易风险情报发现某平台APP提供微信支付宝余额互转功能,但此服务并非由微信或支付宝官方提供,因此存在极大平台卷款跑路风险,使用者需谨慎。
发布时间:2021-05-17 19:29 | 阅读:1106 | 评论:0 | 标签:情报 微信

某贷款app的一个简单支付漏洞

点击左上角 订阅 了解更多漏洞信息01.漏洞描述这个在刚入行的时候发现的,非常简单的漏洞,影响非常严重。首先要登录这个app用签到和其他手段获取>500的X币如图,当时我攒了大概一个多星期,960X币02.展示过程 500X币可以兑换1块钱,接口是这样的选择兑换1元,burp抓包alipay就是支付宝账号,degreeid就是金额,把1改成6,发包秒到账,无人工审核,而且后续测试发现,接口处写的日限5次无效,兑换大于我X币值的金额它扣不掉我的积分,就是说无条件无限兑换,每次请求也没有token之类的,可以批量,也就是我可以一天赚1000万。
发布时间:2021-05-17 19:29 | 阅读:1198 | 评论:0 | 标签:漏洞 app

CNVD工控漏洞子库(ICS-CNVD)正式上线

2021年5月17日,国家信息安全漏洞共享平台(CNVD)正式上线工控漏洞子库ICS-CNVD(https://ics.cnvd.org.cn/)。CNVD工控漏洞子库由国家互联网应急中心运营,是国内目前最权威的专门面向工控系统的漏洞库,当前已收录工控相关漏洞3095个,其中高危漏洞1430个,中危漏洞1490个,低危漏洞175个。CNVD工控漏洞子库充分依托国家级网络安全资源,通过号召和引导工控安全厂商、白帽子、工业企业等多方共同参与工控安全生态建设,提高我国工控漏洞和安全事件的发现、分析、预警,以及整体研究水平和应急处置能力,为我国工业企业安全保障工作提供重要技术支撑和数据支持。
发布时间:2021-05-17 19:29 | 阅读:1564 | 评论:0 | 标签:漏洞 工控 CNVD

维持访问-QueueUserAPC注入分析

#权限维持 13个 一位苦于信息安全的萌新小白帽本实验仅用于信息防御教学,切勿用于它用途公众号:XG小刚前言QueueUserAPC线程注入通过在线程队列中添加APC实现DLL注入本文通过py2.7使用ctypes库进行DLL和代码注入实现,解读一下QueueUserAPC线程注入的原理。函数了解前几文《维持访问-代码注入分析》,《维持访问-远程线程DLL注入分析》基本把所需要的API函数介绍完了本文主要是将CreateRemoteThread函数替换即可。QueueUserAPC将用户模式异步过程调用(APC)对象添加到指定线程的APC队列中。
发布时间:2021-05-17 19:29 | 阅读:866 | 评论:0 | 标签:注入

SecMap - 非常用协议大礼包

#Web 安全 3 #SecMap 3
发布时间:2021-05-17 19:29 | 阅读:983 | 评论:0 | 标签:无

《绿盟君的咖啡时间》|洞见RSA2021:用创业公司的模式做前沿安全研究

一年一度的网络安全盛会RSA2021即将到来,万众瞩目的创新沙盒评选结果也将出炉。今年的RSA大会会为我们带来哪些惊喜呢?《绿盟君的咖啡时间》第二季首期,我们邀请到了绿盟科技创新中心总监刘文懋博士,和大家一起聊聊今年的RSA。Topic 1连续四年,数据安全都是RSA创新沙盒比赛的焦点,2018年的冠军BigID、2019的亚军Duality、2020年的冠军Securiti.ai都致力于数据隐私保护。
发布时间:2021-05-17 19:29 | 阅读:1224 | 评论:0 | 标签:安全

研究人员揭示存在 54 年的通用图灵机零日漏洞 可用于执行任意代码

瑞典斯德哥尔摩 KTH 皇家理工学院的计算机科学教授 Pontus Johnson,刚刚在一篇学术文章中介绍了他在通用图灵机(UTM)中发现的可执行任意代码的相关漏洞。作为历史上最早的计算机设计之一,通用图灵机(UTM)是由已故的人工智能学家 Marvin Minsky 在 1967 年提出的一项概念模拟设计。尽管他承认这么做没有“现实意义”,但此事还是引发了业内人士的广泛讨论。
发布时间:2021-05-17 19:22 | 阅读:2302 | 评论:0 | 标签:漏洞事件 0day 漏洞 通用图灵机 执行

研究人员将披露两个影响 AMD 处理器的 SEV 漏洞

与竞争对手 Intel 相比,AMD 处理器在安全性方面表现得相对出色。但在偶尔的情况下,研究人员还是会发现一些容易被利用的新攻击。TechPowerUp 指出,在即将于 5 月 27 日举办的第 15 届 IEEE WOOT’21 技术研讨会上,将有两篇专门针对 AMD 安全加密虚拟化(SEV)漏洞的新文章等待发表。 来自德国慕尼黑工业大学和吕贝克大学的研究人员,将分别披露有关 CVE-2020-12967 和 CVE-2021-26311 安全漏洞的论文。 虽然尚不清楚 AMD SEV 新漏洞的详情,但我们不难猜测有哪些处理器受到了影响。
发布时间:2021-05-17 19:22 | 阅读:1467 | 评论:0 | 标签:漏洞事件 AMD 漏洞

全球 2/3 首席信息安全官预计未来 12 月将遭遇破坏性的网络攻击

Proofpoint 刚刚对全球 1400 名首席信息安全官(CISO)开展了调查,结果发现大多数受访者都对当下的网络安全和前景表示担忧。据悉,本次调查涵盖了美国、加拿大、英国、法国、德国、意大利、西班牙、瑞典、荷兰、阿联酋、沙特阿拉伯、澳大利亚、日本和新加坡等地各百名首席信息安全官员。 Proofpoint 全球常驻首席信息安全官 Lucia Milică 表示,CISO 现正面临来自多个维度的持续发动的攻击,且不得不采取多重新措施来应对各项挑战。 COVID-19 大流行给全球经济造成了巨大压力,而网络犯罪分子也在借此来加速他们的不法活动。
发布时间:2021-05-17 19:22 | 阅读:1561 | 评论:0 | 标签:安全快讯 Proofpoint 网络攻击 攻击 安全 网络

软件质量指标自动度量方法

通过设定衡量代码质量的八个度量项来对软件的质量进行量化打分,其设定度量项的标准参考了定义软件质量的ISO25010标准。这篇文章结合鸿渐科技团队多年的实践,将给大家介绍一下如何通过ISO25010标准来制定以下的质量指标。质量指标30年多年前,软件工程师Barry Boehm已经发现,如果在软件发布后发现缺陷,修复缺陷的成本会成倍增加。因此,如果能够在软件发布前有一种方法来衡量软件的代码质量,它将潜在地节约大量的成本。一个定义软件代码质量的ISO25010应运而生,这个标准定义了八个主要质量指标和许多子指标。
发布时间:2021-05-17 18:24 | 阅读:1418 | 评论:0 | 标签:质量指标 鸿渐科技 自动

《数字经济蓝皮书:中国数字经济前沿2021》正式发布

5月14日,经过近一年的筹备组稿,由中国社会科学院牵头,中国社会科学院学部委员、十三届全国人大常委、农业与农村委员会副主任委员蔡昉作序,中国工程院邬江兴院士、中国社会科学院学部委员汪同三研究员学术指导,芯盾时代与数字经济前沿团队等联合撰写的《数字经济蓝皮书:中国数字经济前沿2021》正式发布。芯盾时代CEO郭晓鹏作为编委成员主笔撰写数字经济风险与控制部分内容,解析数字经济在发展和落地过程中面临的业务风险,探索运用零信任理念防范数字经济安全风险的解决方案和实践路径。党的十八大以来,中国经济由传统要素和投资规模驱动增长,逐渐转向创新驱动发展模式,中国数字经济发展取得举世瞩目成就。
发布时间:2021-05-17 18:24 | 阅读:1500 | 评论:0 | 标签:芯盾时代 零信任

青藤云安全防守老兵经验之谈:如何用主动狩猎保护核心系统

三年前,青藤参加攻防实战演练,也是我首次作为公司攻防实战行动的负责人深度参与到该行动中来。三年来,我去过数百个攻防实战客户现场,既有安全建设水平非常高,甚至是武装到“牙齿”的组织机构,当然也接触过安全人员和建设都处于比较初级阶段的机构。 从2016年到2020年攻防实战行动整体都发生了巨大变化,执行力度逐年增强。总得来说,呈现出攻击力度越来越强,攻击点的范围越来越广,防护难度越来越大的特点。可以预见的是,2021年即将到来攻防实战行动,防守方将面临巨大挑战。
发布时间:2021-05-17 18:21 | 阅读:1616 | 评论:0 | 标签:安全建设 主动狩猎 威胁模型 安全防守 狩猎保护核心系统 安全 保护

多款路由设备存在路由循环漏洞,影响超600万设备

      2021年1月,来自补天的白帽子—清华大学(网络研究院)奇安信集团网络安全联合研究中心研究员报告了一种普遍存在的路由循环漏洞。补天漏洞响应平台以及国家信息安全漏洞共享平台(CNVD)对其进行收录。其中包含了109个影响数十家路由器厂商设备的漏洞编号,该路由循环漏洞影响近600万设备,攻击者可利用漏洞在任意网络位置发送精心构造的攻击数据包,实现拒绝服务攻击(DoS),最终使得目标路由器的可用性大大降低或完全丧失。数十家路由器厂商的部分或者全部支持IPv6功能的路由器设备均受漏洞影响。
发布时间:2021-05-17 17:33 | 阅读:2319 | 评论:0 | 标签:漏洞

第四届中国数据安全治理高峰论坛引发的重要思考

“第四届中国数据安全治理高峰论坛”在北京香格里拉饭店圆满召开!本届峰会以“数据之光 · 安全未来”为主题,论坛围绕“数据安全治理”展开内容分享、成果发布、技术研讨以及合作交流。其中,嘶吼就本届高峰论坛中数据安全治理和两部立法的相关议题进行整理,希望带给大家以新的思考。
发布时间:2021-05-17 17:33 | 阅读:1772 | 评论:0 | 标签:数据安全 安全

十个问答解惑现代安全运营

安全运营中心(SOC)是一种自动化的高效平台,已被众多企业所采纳作为其安全运营的得力助手。但是,在SOC平台的运营过程中,却难免会遇见一些难题。前几日,ISACA网络研讨会成功举行,会议的重点即安全运营中心的治理。本文将会议整理为问答形式,帮助企业获得SOC运营的提示以及了解SOC平台的趋势。Q:既然SOC首先是一个团队,那么传统SOC与现代SOC的区别在于哪些功能?A:区别的功能包括:威胁狩猎、威胁情报、数据分析以及一些别的功能。这些在传统的SOC中都不太常见。具体的可以看这篇论文章《SOC的未来:SOC的运营者——重要的是技能,而不是等级》。
发布时间:2021-05-17 17:26 | 阅读:2071 | 评论:0 | 标签:安全运营 安全

攻击美国油管公司的DarkSide被查封,现已关闭运营

DarkSide团伙称他们已经无法访问运营服务器,而且其一部分加密货币也被转移到未知身份的钱包,这使DarkSide无法继续运营。Recorded Future研究人员Dmitry Smilyanets在黑客论坛上发现了名为UNKN的用户发布的帖子,而UNKN是REvil勒索软件团伙的账号。帖子显示,受执法行动影响,DarkSide已经无法访问其数据泄露服务器、赎金支付服务器和CDN服务器。帖子中写道:“从第一个版本开始,我们就承诺要开诚布公地进行讨论。几个小时前,我们已经无法访问我们的基础设施,包括博客、支付服务器”,“现在,这些服务器都无法通过SSH进行访问了,主机面板也被拦截。
发布时间:2021-05-17 17:26 | 阅读:2370 | 评论:0 | 标签:攻击 美国

漏洞自动化利用(AEG)研究进展

 前言自从DARPA在2016搞了一个CGC比赛之后,关于漏洞自动利用工作的研究也在随后几年多了起来。国内近几年也有类似的RHG比赛出现。此外,随着软件趋于复杂,模糊测试技术的成熟,漏洞数量也越来越多。要修补所有的漏洞不太现实,而人工去判断漏洞的危害性也是耗时耗力的过程。因此,这也就带动了漏洞自动利用生成(Automatic Exploit Generation)的发展。本文将基于近几年安全顶会上的研究,首先介绍漏洞自动化利用的研究进展,并给出一个漏洞自动利用的基本框架,最后讨论漏洞自动利用的未来研究方向。 1. 背景近几年来,漏洞的CVE数量越来越多。
发布时间:2021-05-17 17:24 | 阅读:1763 | 评论:0 | 标签:漏洞 自动化 自动

基于区块链的医疗系统的数据卸载和共享的合作架构(下)

 4.实验结果与评价在本节中,我们将详细介绍实验和执行实施评估。A.实验设置我们通过数据卸载和数据共享测试来实现完整的实验,用以证明所提出的方案,如图3所示。对于健康数据卸载的实现,我们采用了由Amazon EC2服务器(Intel Xeon系列)启用的Lambda Edge[20]服务,CPU 2.5 GHz,内存为2 GB,最大网络带宽3500 Mbps。我们使用了一款索尼安卓手机作为MD,搭载高通骁龙845处理器,内存为1GB,电池容量为2870mAh。MD通过Wi-Fi连接到无线网络上的边缘云计算,最大数据速率为11 Mbit/s。
发布时间:2021-05-17 17:24 | 阅读:1692 | 评论:0 | 标签:无

全球最大的保险集团遭勒索软件攻击

法国安盛公司(AXA)是全球最大的保险集团。起初是众多互助型保险公司的机械联合企业,但现在它是当今世界上最大的一家保险公司(同德国Allianz 和荷兰ING一样),也是一个资产管理巨头。AXA在美国有子公司安盛金融公司(AXA Financial),该子公司持有联合资产管理公司(Alliance Capital Management)的绝大多数股份;同时在海外其它地方都有众多子公司。
发布时间:2021-05-17 16:49 | 阅读:1990 | 评论:0 | 标签:攻击 勒索

凝心聚力 追求卓越|四叶草安全2021年度团队拓展活动

五月,好时节。没有初春时的料峭之寒,亦没有盛夏时的浮躁与慵懒。温和而不疏淡,热烈但不拘束,天空沉静,草木欣然。在如此惬意的五月,四叶草安全也迎来了2021年度第一场团队拓展活动。人力行政部带领公司的“小草”们前往陕西省商洛市柞水县营盘镇牛背梁秦润山庄进行团建活动。本次活动集游玩放松、团队建设为一体,让小草们在欢笑中彼此熟悉,对身边的伙伴有更多的信任与鼓励,各部门间有更多的理解与体恤。在一天快节奏,高强度的项目体验过程中,小草们各自发挥所长,将脑力与体力完美结合,实可谓怀着纵横天下的胸怀,带着决战沙场的勇气,通过团队比拼一起奏响了华丽的乐章。
发布时间:2021-05-17 16:49 | 阅读:1994 | 评论:0 | 标签:安全

公告

❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄

🧚 🤲 🧜

标签云

友情链接

微信扫一扫,快速掌握黑客技术⇩