SecJack 的所有文章
不足60s,一套漏洞,刚刚,iOS11/12beta版本同时被越狱
SecJack
半个多月前的WWDC2018苹果开发者大会上,iOS12Beta版正式亮相;三天前的凌晨,苹果推送了iOS11.4最新版本的更新。 就在今天上午的Mosec移动安全技术峰会上,360Vulcan团队现场演示了同时越狱iOS11和12…
双枪3暴力来袭 360率先查杀
近日,360安全中心接到用户反馈,在安装某装机盘系统后,主页被恶意篡改,无法设置用户需要的主页。我们在远程用户提取相关文件后发现恶意锁定用户主页为“双枪”木马的一个最新变种。 去年7月,360安全中心发现了连环感染MBR和VBR的新…
另辟蹊径:Kuzzle木马伪装万能驱动钓鱼
近期,360核心安全团队监测到钓鱼网站大量传播主页劫持木马,诱导用户下载安装“万能驱动”软件后,偷偷在用户电脑上释放高隐蔽性的木马模块。通过深入的追踪,我们发现该劫持木马是Kuzzle木马团伙制作,目前看来他们不局限于使用bootk…
今天,腾讯公开致谢360!
最近,腾讯与头条之间你来我往的公关战,在行业内赚足了眼球与话题。倒是另一家与腾讯颇有渊源的公司,最近与腾讯的关系越发的和谐。 这家公司就是360,历史过往大家都懂的。而今天,腾讯竟然给360发了一份致谢信,而且还是公开发布的。 事情…
GPON Home Gateway 远程命令执行漏洞分析
作者:dawu@知道创宇404实验室 0x00 前言 2018/04/30,vpnMentor公布了 GPON 路由器的高危漏洞:验证绕过漏洞(CVE-2018-10561)和命令注入漏洞(CVE-2018-10562)。将这两个漏…
用 javascript 框架绕过 XSS 防御
原文:《Abusing JavaScript frameworks to bypass XSS mitigations》 译者:Twosecurity 在 AppSec Europe Sebastian Lekies 中,Krzys…
简单粗暴的文件上传漏洞
前言 文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要…
brut3k1t – 一款模块化的服务端暴力破解工具
项目地址:https://github.com/ex0dus-0x/brut3k1t 1. Introduction brut3k1t是一款服务端的暴力破解模块,支持多种协议的字典攻击。目前完整支持的协议有: [crayon-5b4…
xss漏洞探测工具-xssfork
xssfork简介 xssfork作为sicklescan的一个功能模块,其开发主要目的是用于检测xss漏洞。 传统的xss探测工具,一般都是采用 payload in response的方式,即在发送一次带有payload的htt…
全自动检测xss以及批量化全网扫描工具
“Scripter”(又名XSSer)是一个自动框架,用于在基于Web的应用程序中检测,利用和报告XSS漏洞。 下载地址: git clone https://github.com/epsylon/xsser 安装: XSSer在许…