安全知识

在本文中,我将向大家展示如何通过使用深奥的web特性来将它们的缓存系统转变为漏洞利用代码(exploit)投放系统,每一位错误访问他们主页的用户都是这种攻击的目标。
最近发现了一道新题,发现是xss->ssrf->redis的,觉得很有趣,于是做了一下,记录一下writeup。
Mimikatz能够从内存中提取出明文形式的密码,因此在内部渗透测试或者红队行动中被广泛应用,攻击者也会在攻击活动中大量使用这款工具。尽管微软推出了一个安全补丁,该补丁同样适用于版本较老的操作系统。
最近,我们的研究人员发现了Android App使用存储资源方式的缺陷。App使用外部存储资源时的粗心大意,犹如打开潘多拉墨盒,有可能导致多种不良后果。
近年来,Google在减少攻击面和漏洞利用缓解方面做出了很多努力,以加强Android系统的安全性。远程攻破Android手机,尤其是Google的Pixel手机变得越来越困难。这篇文章主要讲,我们是如何攻破pixel手机的。
这篇写了两个靶机,-lin.security靶机+Goldeneye靶机,还是一样因为第一个靶机比较简单就和另外一个合并在一起发表了。
在本文中,我们将介绍另一种可能被恶意软件滥用的主机指纹识别方法。
近几年被国内外安全厂商披露的Fancy Bear、Lazarus、Operation Manul、摩诃草、黄金鼠等多个攻击组织无疑印证了这点。近期,360烽火实验室发现肚脑虫组织(APT-C-35)最新的攻击已把移动端也加入到其攻击目标中。
我们的解法包含一个0 day,前几天也刚刚被Eat Sleep Pwn Repeat队伍的@_niklasb大佬发现,且在最新的更新中已被修复。我们决定尽可能详细的编写这篇文章,以展示我们全部的工作过程。
故事始于一个域名collaborate-corp.amazon.com,它貌似是一个内部协作系统。 从网页下面的copyright来看,这个系统是用开源项目Nuxeo构建的。 它是一个非常庞大的Java项目,起初我就想提高一下Java审计技能。