首页 Web安全
  • 黑客是如何利用你的浏览器进行挖矿的?

    黑客是如何利用你的浏览器进行挖矿的?

    I'm Hu madman 2018-6-4 189
    0×1 概述 近期,千里目安全实验室监测到了一大批网站系统被恶意植入了网页挖矿木马,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马站点,浏览器会即刻执行挖矿指令,从而沦为僵尸矿机,无偿的为网页挖矿木马植入者提供算力,间接为其生产虚拟货币,这是一种资源盗用攻击。由于网页挖矿木马存在很广的传播面和很不错的经济效益,因此、广受黑产团体的追捧,让我们对它防不胜防! 0×2 千里百...
  • 技术分享 | 劫持DNS通过流量植入木马实验

    技术分享 | 劫持DNS通过流量植入木马实验

    I'm Hu madman 2018-6-4 190
    *本文原创作者:R1ngk3y,本文属FreeBuf原创奖励计划,未经许可禁止转载 严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。 前言 很多时候对目标进行渗透时一般会从web、网络设备、针对性钓鱼这三个方向入手。假设我们控制了目标网络中的一台网络设备,如路由器,内网用户流量会从这个地方经过我们怎么获取其权限呢 ? 这种时候可以在路由器上抓包...
  • 利用HTTP参数污染方式绕过谷歌reCAPTCHA验证机制

    利用HTTP参数污染方式绕过谷歌reCAPTCHA验证机制

    I'm Hu madman 2018-6-4 174
    今年初,我上报了一个谷歌reCAPTCHA验证码绕过漏洞,该漏洞在于能用一种HTTP参数污染的不安全方式,让Web页面上的reCAPTCHA构造一个针对 /recaptcha/api/siteverify 的请求,在这种情况下,攻击者可以每次都能绕过reCAPTCHA的安全验证机制。之后,谷歌从reCAPTCHA API的顶层接口上对这个漏洞进行了修复。在此,我们一起来看看reCAPTCHA机制是...
  • Win提权思路,方法,工具(小总结) 奇淫技巧

    Win提权思路,方法,工具(小总结) 奇淫技巧

    I'm Hu madman 2018-5-29 155
    介绍windows提权总是被归结为适当的枚举。但要完成适当的枚举,你需要知道要检查和查找的内容。这通常需要伴随着经验的丰富而对系统非常熟悉。起初特权升级看起来像是一项艰巨的任务,但过了一段时间,你就开始过滤哪些是正常的东西,而哪些不是正常的东西。最终变得更容易,因为你知道要寻找什么了,而不是挖掘希望在干草堆中找到那根针的所有东西。希望本指南能为你的入门提供良好的基础知识。所以本指南主要集中在枚举方...
  • 黑客是如何入侵网站?渗透测试基本思路

    黑客是如何入侵网站?渗透测试基本思路

    I'm Hu madman 2017-12-12 333
    作为公司的运维人员,特别是中大型企业,网站被攻击,网站打不开是一件再平常不过的事情了。今天我们就来说说黑客是如何入侵你的网站导致用户无法正常访问的。 由于关注我们的用户有一些是企业运维者,所以小编在后面 再说下为什么企业网站需要做渗透测试。 目前的网站可分为三大块:个人运营、团队/公司运营、政府运营。 个人网站比例还是很大的,这种网站多数采用开源系统。 如博客类:Wordp...