歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!
  • 手把手教你編寫抖音自動評論腳本
  • 我的TodoList增加了一項,Appium | Airtest 抖音自動評論、創意評論(所有評論/前一百評論男女占比 | 所有評論詞云),記錄了當時的一個想法。Appium和Airtest都可用于移動端自動化測試,Airtest是網易家的,想做評論......
  • 所屬分類:腳本安全 更新時間:2019-09-20 相關標簽: 閱讀全文...
  • 使用惡意SQLite數據庫獲取代碼執行
  • 前言 SQLite是世界上部署最多的軟件之一。但是,從安全角度來看,它只是通過WebSQL和瀏覽器開發的視角進行了安全檢查。 在研究人員的長期研究中,曾嘗試在SQLite中利用內存損壞漏洞,而不依賴于SQL語言之外的任何......
  • 所屬分類:腳本安全 更新時間:2019-09-15 相關標簽: 閱讀全文...
  • 腳本小子的噩夢:看我如何黑掉僵尸網絡
  • 0x00 前言 本文將分享如何攻破一些代碼存在漏洞的僵尸網絡,這些僵尸網絡的操作者通常為腳本小子。 此前我并未接觸過這些黑產,因此對鼎鼎大名的DoS社區(譯者注:僵尸網絡通常被用于發動大規模DoS攻擊以謀利......
  • 所屬分類:腳本安全 更新時間:2019-09-06 相關標簽: 閱讀全文...
  • Python字節碼解混淆之反控制流扁平化
  • 上次打NISCCTF2019留下來的一道題,關于pyc文件逆向,接著這道題把Python Bytecode解混淆相關的知識和工具全部過一遍。同時在已有的基礎上進一步創新得到自己的成果,這是下篇,更近一步進行還原混淆過的pyc文件。 ......
  • 所屬分類:腳本安全 更新時間:2019-09-06 相關標簽: 閱讀全文...
  • 存儲型XSS的發現經歷和一點繞過思路
  • 某SRC提現額度竟然最低是兩千,而已經有750的我不甘心吶,這不得把這2000拿出來嘛。 之后我就瘋狂的挖這個站,偶然發現了一個之前沒挖出來的點,還有個存儲型XSS! 剛開始來到這個之前挖過但沒挖出來的站,看了一下......
  • 所屬分類:腳本安全 更新時間:2019-09-02 相關標簽: 閱讀全文...
  • Medium博客平臺從Stored XSS到賬號劫持
  • 本文分享的是作者在博客平臺Medium上編寫文章時,偶然發現一個Stored XSS漏洞,在此基礎上深入分析又發現了Account Takeover賬號劫持漏洞,完美實現賞金從$100到$1000的提升。 偶然發現Stored XSS漏洞 幾個星期以......
  • 所屬分類:腳本安全 更新時間:2019-09-01 相關標簽: 閱讀全文...
  • 613個主流網站中發現點擊劫持腳本
  • 香港中文大學、微軟研究院、韓國首爾大學和賓夕法尼亞大學的研究人員對點擊劫持進行了研究,發現有613個主流網站存在攔截用戶點擊的惡意腳本。 Clickjacking即點擊劫持,已經廣泛應用于廣告行業了,犯罪分子也利用它......
  • 所屬分類:腳本安全 更新時間:2019-08-29 相關標簽: 閱讀全文...
  • 利用Python腳本實現漏洞情報監控與通知的經驗分享
  • 本文主要介紹了筆者利用一個簡單的Python腳本實現漏洞情報的監控以及自動通報的相關經驗。 一、背景 筆者所在公司某一個業務系統用到了漏洞頻發的Struts2框架,S2-045爆發的時候剛好是剛進公司不久,還沒有落實好漏......
  • 所屬分類:腳本安全 更新時間:2019-08-26 相關標簽: 閱讀全文...
  • 論Nmap中一些常用的NSE腳本
  • 在這篇文章中,我們將研究最著名的滲透工具之一 Nmap 一款標志性的跨平臺掃描器。它的原意為Network Mapper(網絡映射器),具有相當強大的掃描功能,幾乎適用于任何滲透場景。不少人甚至認為它就是全球最好的掃描軟......
  • 所屬分類:腳本安全 更新時間:2019-08-22 相關標簽: 閱讀全文...
  • 國家棒球名人堂網站被植入信息竊取腳本
  • 位于紐約州庫珀斯敦的國家棒球名人堂的網站被黑客入侵,其中包括了一個惡意的MageCart腳本,該腳本竊取了在網站上購買商品的客戶的支付信息。 根據加州安全漏洞通知服務提交的通知,美國國家棒球名人堂網站在2018......
  • 所屬分類:腳本安全 更新時間:2019-08-12 相關標簽: 閱讀全文...
  • XSS利用中的一些小坑
  • 隨著時間的推移,簡單使用alert(1)和python –m SimpleHTTPServer的黃金年代已經不復存在。現在想通過這些方法在locahost之外實現XSS(Cross-Site Scripting)以及竊取數據已經有點不切實際。現代瀏覽器部署了許......
  • 所屬分類:腳本安全 更新時間:2019-08-12 相關標簽: 閱讀全文...
  • Macro_Pack中的宏代碼混淆方法分析
  • 宏混淆工具 Macro_Pack是一個用于自動化混淆及生成Office文檔、VB腳本、快捷方式等文件的工具,其主要用于滲透測試、demo以及社會工程學評估。macro_pack的目標是簡化利用流程,反惡意軟件繞過,并自動化實現從vba生......
  • 所屬分類:腳本安全 更新時間:2019-08-09 相關標簽: 閱讀全文...
  • Frenchy shellcode分析
  • 在這篇文章中,我分析了一個名為“Frenchy shellcode”的shellcode,因為它創建了互斥鎖(其中一些版本有互斥鎖)。 這個shellcode通過不同的packers加載了不同種類的惡意軟件。 因此,我決定研究一下這個shellcode并......
  • 所屬分類:腳本安全 更新時間:2019-08-07 相關標簽: 閱讀全文...
  • XSS繞過實戰練習
  • 我寫這篇文章起源來自于一次網絡安全實驗課,在實驗虛擬環境里有一個xss挑戰,估計是搬別人的xss挑戰進來,我覺得挺有意思,就記錄一下。有些關卡不能再虛擬環境實踐,我在自己物理機上找到那個xss挑戰平臺進行實現。......
  • 所屬分類:腳本安全 更新時間:2019-06-19 相關標簽: 閱讀全文...
  • Mybb 18.20 From Stored XSS to RCE 分析
  • 2019年6月11日,RIPS團隊在團隊博客中分享了一篇MyBB ,文章中主要提到了一個Mybb18.20中存在的存儲型xss以及一個后臺的文件上傳繞過。 其實漏洞本身來說,畢竟是需要通過XSS來觸發的,哪怕是儲存型XSS可以通過私信等......
  • 所屬分類:腳本安全 更新時間:2019-06-14 相關標簽: 閱讀全文...
  • 看我如何利用JavaScript全局變量繞過XSS過濾器
  • 寫在前面的話 如果你發現你的攻擊目標存在XSS漏洞,但是你所有的漏洞利用嘗試似乎都被XSS過濾器(或輸入驗證和Web應用防火墻規則)屏蔽掉了的話,那你該怎么辦?非常好,在這篇文章中,我們將告訴大家如何利用......
  • 所屬分類:腳本安全 更新時間:2019-06-13 相關標簽: 閱讀全文...
  • 從XSS漏洞到四步CSRF利用實現賬戶劫持
  • 作者前不久在HackerOne上參加了一個漏洞眾測邀請項目,目標測試應用(系統)的功能是為一些企業托管相關服務,普通用戶可以通過該系統進行注冊,然后使用這些服務。所以,該應用中會涉及到很多用戶的敏感信息處理操......
  • 所屬分類:腳本安全 更新時間:2019-05-29 相關標簽: 閱讀全文...
  • 濫用jQuery導致CSS時序攻擊
  • 亞瑟·薩夫尼斯(Arthur Saftnes)去年發表了一篇非常棒的文章,介紹了他在利用CSS選擇器和Javascript進行時序攻擊方面的研究成果。說實話,它可能是我去年最喜歡的一篇文章。 注:如果你是第一次接觸這類攻擊......
  • 所屬分類:腳本安全 更新時間:2019-05-25 相關標簽: 閱讀全文...
  • Intigriti XSS挑戰全教程
  • 寫在前面的話 Intigriti近期發布了一個非常有意思的XSS挑戰項目,該項目要求我們制作一個特殊的URL,而這個URL不僅要能夠給iframe分配src參數,而且還要能夠發送eval()調用來彈出一個“alert(document.domain)......
  • 所屬分類:腳本安全 更新時間:2019-05-14 相關標簽: 閱讀全文...
  • FRIDA腳本系列(四)更新篇:幾個主要機制的大更新
  • 最近沉迷學習,無法自拔,還是有一些問題百思不得騎姐,把官網文檔又翻了一遍,發現其實最近的幾個主要版本,更新還是挺大的,遂花了點時間和功夫,消化吸收下,在這里跟大家分享。 進程創建機制大更新 存在的問......
  • 所屬分類:腳本安全 更新時間:2019-05-05 相關標簽: 閱讀全文...
  • 使用Sboxr自動發現和利用DOM(客戶端)XSS漏洞
  • 這一系列的文章將向你展示如何在單頁或富JavaScript的應用程序上識別DOM XSS的問題。作為示例,我們將在DOM XSS playground(https://domgo.at)上解決10個練習題目,并為檢測到的問題創建了簡單的概念證明漏洞。 這......
  • 所屬分類:腳本安全 更新時間:2019-04-24 相關標簽: 閱讀全文...
  • 使用AutoHotkey和Excel中嵌入的惡意腳本來繞過檢測
  • Trend Micro研究人員發現一個使用合法腳本引擎AutoHotkey和惡意腳本文件的攻擊活動。該文件以郵件附件的形式傳播,并偽裝成合法文件Military Financing.xlsm。用戶需要啟用宏來完全打開文件,使用AutoHotkey來加載惡......
  • 所屬分類:腳本安全 更新時間:2019-04-22 相關標簽: 閱讀全文...
  • JavaScript 原型鏈污染
  • 0x01 前言 最近看到一篇原型鏈污染的文章,自己在這里總結一下 0x02 javascript 原型鏈 js在ECS6之前沒有類的概念,之前的類都是用funtion來聲明的。如下 可以看到b在實例化為test對象以后,就可以輸出test......
  • 所屬分類:腳本安全 更新時間:2019-04-22 相關標簽: 閱讀全文...
  • Xss漏洞挖掘新姿勢,XSS ME的“小秘密”
  • 說到xss漏洞挖掘,我們可以看到網上是這個樣子的。 我們會看到有各種xss的文章方便大家了解相關的知識,以及搭建一些平臺進行學習。而我最近在挖洞的時候,掌握了一種新的“姿勢”,發現火狐瀏覽器的一款插件......
  • 所屬分類:腳本安全 更新時間:2019-04-19 相關標簽: 閱讀全文...
  • 測試WAF來學習XSS姿勢(三)
  • 前言 今天又換了款waf,因為waf要IIS環境,我發現我是個手殘黨,一看就懂,操作就廢,搭建個IIS環境沒成功。后來有朋友說我買的服務器有重置系統,那里可以選擇ASP/.NET環境,今天搭建好了。 提醒 本文......
  • 所屬分類:腳本安全 更新時間:2019-04-17 相關標簽: 閱讀全文...
  • 蟻劍客戶端RCE挖掘過程及源碼分析
  • 事情的起因是因為在一次面試中,面試官在提到我的CVE的時候說了我的CVE質量不高。簡歷里那幾個CVE都是大一水過來的,之后也沒有挖CVE更別說高質量的,所以那天晚上在我尋思對哪個CMS下手挖點高質量CVE的時候,我盯上......
  • 所屬分類:腳本安全 更新時間:2019-04-15 相關標簽: 閱讀全文...
  • 測試WAF來學習XSS姿勢(二)
  • 對于我這個菜鳥來說,我通過谷歌百度學習到很多前輩的資料,甚至每句話都是他的指導,我也很感激前輩的為我們鋪設的道路,讓我們更快的成長起來。我也樂于分享,可能有些知識點過于單調或者久遠,請見諒。 waf ......
  • 所屬分類:腳本安全 更新時間:2019-04-15 相關標簽: 閱讀全文...
  • 值得關注的威脅類別--利用腳本語言解析器過主防
  • 終端安全軟件功能可以分為兩大部分,一部分是殺毒,另一部分是主防。主流安全軟件幾乎都同時包含兩種功能。 殺毒方面10多年前開始已經有比較多的攻防對抗方式,這里不作過多討論,本文主要討論主防。 主防主要作用......
  • 所屬分類:腳本安全 更新時間:2019-04-10 相關標簽: 閱讀全文...
  • 本類最新更新
    • 本類熱門文章
      • 最新下載
        • 標簽云集
        江西十一选五走势图爱彩乐