未分类
推特用户密码被明文泄漏
NNN4cy
今天登录推特的时候,系统发布一则“重要更新”,言辞含糊,说因为系统BUG,要求用户“出于高度谨慎之目的”修改密码。 在推特的官方博客里详细介绍了这个BUG,用户修改密码的主要原因是,此前发生的一个故障导致部分用户的账号…
34 家公司签署“不协助政府黑客行动”协议,苹果、谷歌、亚马逊和英特尔不在名单上
雷锋网(公众号:雷锋网)消息,外媒美国时间 4 月 17 日报道称,在 RSA 2018 安全会议上,以微软为首的 34 家高科技公司签署了一项技术协议,同意不惜一切代价保护客户免受网络犯罪和国家行为的网络攻击,同时表示不向政府提供…
360谭晓生独家解读RSA 揭秘安全界最新风向标
北京时间4月17日,一年一度的RSA信息安全大会在美国旧金山开幕。作为全球网络安全行业最受关注的年度盛会,本届RSA大会以“Now Matters”(现在很重要)为主题。来自世界各地的企业围绕数字化时代网络安全发展趋势展开深入讨论,…
2017安卓应用第三方SDK威胁概况
前言 据外媒报道,美国媒体机构Zenith发布的最新研究报告预测,在2018年,全球智能手机用户数量将会继续增长。其中,中国智能手机用户数量将位居全球第一,达到13亿,届时将人手一部智能手机。而移动市场份额中,谷歌的Android和…
打造高速、全面的子域名爆破
子域名爆破往往是渗透测试的第一步,是收集 IP 信息、脆弱点的前置条件。之前测试了目前社区中的子域名爆破软件,都不是很满意, 主要问题可归结为: - 速度慢 - 结果不全 - 对泛解析的未做处理或处理方式过于粗暴 1. 速度慢 DN…
关于iOS 10.3.1 ziVA内核漏洞利用的简单分析
Zimperium放出了iOS 10.3.1的内核漏洞的利用,配合P0的过沙盒漏洞可以做到内核的任意读写。 这次放出的代码不是一个POC,而是一个完整的内核利用exp。研究价值是非常巨大的。EXP 的下载地址是:https://gi…
解决低版本安卓系统中webview对css的background写法不兼容问题
背景 对接第三方app的时候发现内嵌网页里面的背景图死活出不来,但是在同一个手机上的微信自带浏览器确是正常的,通过各种尝试终于发现问题,记录一下。 对方使用的方式是app里面内嵌一个webview加载我方的手机端页面,这个页面在大部…
收集整理的15种文件下载的方式
在我们的渗透过程中,通常会需要向目标主机传送一些文件,来达到提权,维持控制等目的。本篇文章将会介绍15种下载文件的方法。 PowerShell File Download PowerShell 是一种winodws原生的脚本语言,对…
Python Waf黑名单过滤下的一些Bypass思路
1.黑名单下的函数; 1.1 变量 = 函数名 [crayon-5b4bede00bc3f327962742/] 1.2 空格+换行 经过测试,函数名后面加点空格换一行都能执行。 [crayon-5b4bede00bc4483639…
入侵检测系统如何降低误报率?
0x00 背景 入侵检测技术一般分为异常检测和特征/签名检测,这里主要讨论的是网络入侵检测系统(NIDS)。 异常检测 (Anomaly detection):假设入侵者活动异常于正常主体的活动。常用的方法有:关联规则、神经网络、S…