freebuf

威胁远胜“心脏出血”?国外新爆Bash高危安全漏洞

[OpenSSL心脏出血漏洞全回顾] http://www.freebuf.com/articles/network/32171.html[如何阻止下一次心脏出血漏洞]http://www.freebuf.com
凌晨几度i·2014-09-25 06:00

OpenWrt +Squid调戏蹭网者

本文参考freebuf.com的原理搭建。
qianguozheng·2014-09-16 19:00

XSS的原理分析与解剖(第二篇)

0×01 前言: 上节(http://www.freebuf.com/articles/web/40520.html)已经说明了xss的原理及不同环境的构造方法。本期来说说XSS的分类及挖掘方法。
Black-Hole·2014-09-08 16:00

BackTrack5下建立“钓鱼”热点测试[www.freebuf.com]

BackTrack,是一套专业的计算机安全检测的Linux操作系统,简称BT。它破解WEP,WPA/WPA2加密方式的无线网络也不在话下,当然前提是需要有足够强大的密码字典文件。本文作者Jn分享了如何利用BackTrack5建立“钓鱼”热点。1、配置静态IP修改/etc/network/interfaces文件auto eth0iface eth0 inet staticaddress 192.1
往往搞·2014-08-30 16:45

BackTrack5下建立“钓鱼”热点测试[www.freebuf.com]

BackTrack,是一套专业的计算机安全检测的Linux操作系统,简称BT。它破解WEP,WPA/WPA2加密方式的无线网络也不在话下,当然前提是需要有足够强大的密码字典文件。本文作者Jn分享了如何利用BackTrack5建立“钓鱼”热点。1、 配置静态IP修改/etc/network/interfaces文件auto eth0 iface eth0 inet static address 19
往往搞·2014-08-30 16:45

Weevely工具使用详解[www.freebuf.com]

weevely是一款使用python编写的webshell工具(集webshell生成和连接于一身,仅用于安全学习教学之用,禁止非法用途),可以算作是linux下的一款菜刀替代工具(限于php),在linux上使用时还是很给力的,就是某些模块在windows上无法使用,总的来说还是非常不错的一款工具。项目地址:https://github.com/epinna/Weevely下面就针对该工具里的功
往往搞·2014-08-30 16:34

Access数据库基于时间盲注的实现[www.freebuf.com]

MicrosoftOfficeAccess是由微软发布的关系数据库管理系统。它结合了MicrosoftJetDatabaseEngine和图形用户界面两项特点,是MicrosoftOffice的系统程式之一。0×00 概述众所周知,access数据库是不支持基于时间的盲注方式,但是我们可以利用access的系统表MSysAccessObjects,通过多负荷查询(Heavy Queries)的方式
往往搞·2014-08-30 16:57

Access数据库基于时间盲注的实现[www.freebuf.com]

MicrosoftOfficeAccess是由微软发布的关系数据库管理系统。它结合了MicrosoftJetDatabaseEngine和图形用户界面两项特点,是MicrosoftOffice的系统程式之一。0×00概述众所周知,access数据库是不支持基于时间的盲注方式,但是我们可以利用access的系统表MSysAccessObjects,通过多负荷查询(HeavyQueries)的方式实现
往往搞·2014-08-30 16:57

极客改变世界[www.freebuf.com]

 在10月24号的GeekPwn到来前,主办方―来自KeenTeam的创始人大牛蛙希望我能为GeekPwn写点东西。作为GeekPwn的顾问,我也非常乐意为这次首秀做一点事情。    正如之前提到过的,大牛蛙第一次找我聊GeekPwn的想法时,我就被他打动了。之前大牛蛙创办的KeenTeam参加过两次Pwn2Own大赛,并连续在与全球顶级黑客的竞争中攻破了Mac等系统夺得了冠军。但大牛蛙想做的事情
往往搞·2014-08-30 16:21

XSS的原理分析与解剖[www.freebuf.com]

0×01前言:《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码,没有从基础的开始),直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。我这里就不说什么xss的历史什么东西了,xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因有下:1、耗时间 2、有一定几率不成功 3、没有相应的软件来完成自动化攻击 4、前期需要基本的html、j
往往搞·2014-08-30 16:27

QQ蠕虫的行为检测方法[www.freebuf.com]

QQ蠕虫是一种利用QQ等腾讯公司相关产品进行传播的一种特殊蠕虫,该蠕虫的基本原理是利用了QQ帐户的快速登录机制,只要当前系统中有一个QQ帐户成功登录,就可以通过后台接口实现该帐户相关应用的快速登录而不需要再次输入帐户密码。登录后蠕虫可以访问QQ应用的各种网络接口,例如:通过接口实现加QQ好友、加入QQ群、发消息、发日志、发微博、上传群共享文件等操作,且完全不需要用户同意。借用这种技术,QQ蠕虫可以
往往搞·2014-08-30 16:18

QQ蠕虫的行为检测方法[www.freebuf.com]

QQ蠕虫是一种利用QQ等腾讯公司相关产品进行传播的一种特殊蠕虫,该蠕虫的基本原理是利用了QQ帐户的快速登录机制,只要当前系统中有一个QQ帐户成功登录,就可以通过后台接口实现该帐户相关应用的快速登录而不需要再次输入帐户密码。登录后蠕虫可以访问QQ应用的各种网络接口,例如:通过接口实现加QQ好友、加入QQ群、发消息、发日志、发微博、上传群共享文件等操作,且完全不需要用户同意。借用这种技术,QQ蠕虫可以
往往搞·2014-08-30 16:18

论如何高效的挖掘漏洞[www.freebuf.com]

现在光是一个Web前端就有很多的攻击手法。而大多数攻击手法都是基于"客户端"存在的。但是很少有人注意到,所以就有了本文。想要去找一个新攻击手法时,很多人大多都是研究代码(包括我一开始)。从代码里寻找漏洞。这种方法效率比较低下。所以有人喜欢用fuzzing来大规模的测试漏洞的存在(这个方法的确很不错,范围广,测试全,速度快),而大家别以为我找到一种类似fuzzing那样的技术,我还没有那个实力。这个
往往搞·2014-08-30 16:19

论如何高效的挖掘漏洞[www.freebuf.com]

现在光是一个Web前端就有很多的***手法。而大多数***手法都是基于"客户端"存在的。但是很少有人注意到,所以就有了本文。想要去找一个新***手法时,很多人大多都是研究代码(包括我一开始)。从代码里寻找漏洞。这种方法效率比较低下。所以有人喜欢用fuzzing来大规模的测试漏洞的存在(这个方法的确很不错,范围广,测试全,速度快),而大家别以为我找到一种类似fuzzing那样的技术,我还没有那个实力
往往搞·2014-08-30 16:19

下一代远程控制木马的思路探讨[www.freebuf.com]

传统意义上的远程控制木马由于适用面不广,使用比较单一,只注重功能不注重一些安全上的问题,出现过的事故就有: 1.控制者被反查2.控制者机器被利用文件下载上传文件反控3.相关黑客被杀4.抓鸡黑客被网警追捕5.主要成员被国际通缉等等。传统的远程控制木马最初1.大多使用tcp协议作为其主要通信协议,没有采用对应的加密措施。2.木马文件经过加壳或者没有加壳,可轻易被分析出特征码。3.相关功能都被整合到了一
往往搞·2014-08-30 16:09

下一代远程控制***的思路探讨[www.freebuf.com]

传统意义上的远程控制***由于适用面不广,使用比较单一,只注重功能不注重一些安全上的问题,出现过的事故就有:1.控制者被反查2.控制者机器被利用文件下载上传文件反控3.相关***被杀4.抓鸡***被网警追捕5.主要成员被国际通缉等等。传统的远程控制***最初1.大多使用tcp协议作为其主要通信协议,没有采用对应的加密措施。2.***文件经过加壳或者没有加壳,可轻易被分析出特征码。3.相关功能都被整
往往搞·2014-08-30 16:09

如何正确的隐藏自己的行踪[www.freebuf.com]

大家好!我发现很多新人在讨论 “匿名”,所以我想我该写一篇清晰讲解它的教程,无论你是否能够隐藏自己。我们也会讨论“隐藏自己”的方法及工具,但先集中注意力去理解下面的教程吧:有时一个人可以与其他东西建立一个长期的“关系”(就像你的“声誉”一样),而不需要透露个人信息。照这样来说,建立一个唯一的标识符(绰号)对这个人是很有用的。关于“标识符”的例子:笔名,昵称,银行卡(信用卡)号,学生证上的号码,以及
往往搞·2014-08-30 16:16

如何正确的隐藏自己的行踪[www.freebuf.com]

大家好!我发现很多新人在讨论“匿名”,所以我想我该写一篇清晰讲解它的教程,无论你是否能够隐藏自己。我们也会讨论“隐藏自己”的方法及工具,但先集中注意力去理解下面的教程吧:有时一个人可以与其他东西建立一个长期的“关系”(就像你的“声誉”一样),而不需要透露个人信息。照这样来说,建立一个唯一的标识符(绰号)对这个人是很有用的。关于“标识符”的例子:笔名,昵称,银行卡(信用卡)号,学生证上的号码,以及I
往往搞·2014-08-30 16:16

如何调戏蹭网者[www.freebuf.com]

效果如下:是不是有点意思?好的,那么下面我们正式开始!0×01   实验环境我先说一下我的实验环境:主机:ubuntu 虚拟机:windowsXP(vbox) 软件:squid、apache拓扑环境就不多废话了,我这边是host通过wlan0上网,虚拟机选择Host-Only模式,连接到主机的vboxnet0接口(默认的,我没修改)。0×02 系统配置这里,我们首先要把系统的网络转发功能打开,可以
往往搞·2014-08-30 16:58

如何为SOC配备合适的安全分析师

【注】这篇文章的原文在DarkReading上发表,被翻译和刊载在Freebuf,并加入了译者的感想。现将译者的博文转载于此。
叶蓬·2014-07-17 19:05

如何为SOC配备合适的安全分析师

【注】这篇文章的原文在DarkReading上发表,被翻译和刊载在Freebuf,并加入了译者的感想。现将译者的博文转载于此。
叶蓬·2014-07-17 19:05

见招拆招:绕过WAF继续SQL注入常用方法

这篇文章之前的名字叫做:WAFbypassforSQLinjection#理论篇,我于6月17日投稿了Freebuf。链接:点击这里 现博客恢复,特发此处。
mik3y·2014-07-16 16:00

绕过WAF继续SQL注入常用方法

绕过WAF继续SQL注入常用方法这篇文章之前的名字叫做:WAFbypassfor SQL injection#理论篇,我于6月17日投稿了Freebuf。链接:点击这里现博客恢复,特发此处。
qileilove·2014-07-03 18:00

我的sulley安装过程

好了,最开始是在freebuf上看到的一个附录上有这个sulley的安装过程,我欣喜若狂。之后才知道这个就是人家的官方文档。废话不多说。
cogbee·2014-06-26 17:00

SQL注入之SQLmap入门(转自freebuf)

具体见:http://www.freebuf.com/articles/web/29942.html用户手册:http://drops.wooyun.org/tips/143http://drops.wooyun.org
Brox·2014-05-18 17:00

操作系统指纹识别概述 - FreeBuf.COM

操作系统指纹识别一般用来帮助用户识别某台设备上运行的操作系统类型。通过分析设备往网络发送的数据包中某些协议标记、选项和数据,我们可以推断发送这些数据包的操作系统。只有确定了某台主机上运行的操作系统,攻击者才可以对目标机器发动相应的攻击。例如,如果要使用缓冲区溢出攻击,攻击者需要知道目标的确切操作系统与架构。为什么要进行操作系统指纹识别?能够探测到远程操作系统版本的网络侦察工具是非常有价值的,因为许
jackxiongmin·2014-04-19 22:06

安全扫描器IBM Appscan v8.8

之前使用FreeBuf大牛共享APPSCAN8.7,最近电脑换了Win8.1,再装APPSCAN8.7时,发现没办法使用,装了.NETFramework3.5也是一样,去官方一看才知道8.7版本的APPSCAN
MeirLin·2014-03-06 20:00

安全扫描器IBM Appscan v8.8

之前使用FreeBuf大牛共享APPSCAN8.7,最近电脑换了Win8.1,再装APPSCAN8.7时,发现没办法使用,装了.NET Framework 3.5也是一样,去官方一看才知道8.7版本的APPSCAN
MeirLin·2014-03-06 12:00

你真的理解编码吗?unicode,utf8,utf16详解

什么是编码在阅读本文之前建议读者先去阅读这篇文章:http://www.freebuf.com/articles/others-articles/25623.html,如果你没有耐心读完他也没关系,只需要明白三个道理
Leo-Yang·2014-03-01 17:00

RSA推荐的知名博客(转载freebuf)

今年美国RSA大会将在这个月的23-28号举行,每年大会上都会评出过去一年来业内最佳安全博客(SecurityBloggersNetworkSocialSecurityAwards2014),该投票已于2月14日停止了投票,大奖得主将于RSA大会上公布。现在我们抢先看看都有哪些提名。(部分有重复,排名不分先后),最终结果且听下周分解。最佳企业安全博客提名:Juniper(网络厂商,不用多介绍):h
cnbird2008·2014-02-21 12:06

dSploit―Android网络渗透套件测试小记(含视频)

http://www.freebuf.com/articles/wireless/6279.htmldSploit―Android网络渗透套件测试小记(含视频)dSploit是什么?
chenshengang·2014-02-19 13:50

dSploit—Android网络***套件测试小记(含视频)

http://www.freebuf.com/articles/wireless/6279.htmldSploit—Android网络***套件测试小记(含视频)dSploit是什么?
chenshengang·2014-02-19 13:50

pyquery示例-获取FreeBuf新闻标题

frompyqueryimportPyQueryaspq d=pq(url="http://www.freebuf.com/") alist=d(".newspic01") printu"获取freebuf
agoago_2009·2014-02-11 20:00

DNS欺骗

http://www.freebuf.com/tools/5427.htmlhttp://nmap.org/download.htmlhttp://www.me5.cc/http://www.unhonker.com
waldens·2014-02-10 10:09

struts2 漏洞

http://www.freebuf.com/vuls/11220.html =============================================================
kangzye·2013-12-27 10:00

向正在运行的Linux应用程序注入代码f

from http://www.freebuf.com/articles/system/6388.html小编的话:感谢0×80的认真翻译,辛苦:),各位同学,不要吝惜你的顶和评论哦!
occupy8·2013-12-01 16:00

apt技术手段防御

http://www.freebuf.com/articles/others-articles/16505.html5.2技术手段分析从具体的技术层面来说,为了应对APT攻击,新的技术也是层出不穷。
cnbird2008·2013-11-07 17:16

Web应用安全十大主动安全措施

这几天有空参加了360主办的第一届互联网安全大会(ISC2013),除了现场看到FREEBUF现场微博号发的众多妹子之外,也听到了很多有趣的议题,比如TK分享的通过网络运营商缓存服务器偷渡,只需一台电脑
zhpfxl·2013-10-22 11:47

一次服务器被入侵后的分析(2)

原文出处:larsstrand译文出处:freebuf然后,他创建了两个配置文件.文件中包含irc服务器和需要加入的频道.配置文件是加密过的,而且明文的配置文件被删掉了.12345678371viconf372viconf1
szyangxiao·2013-10-15 11:42

一次服务器被入侵后的分析(1)

原文出处:larsstrand译文出处:freebuf最近有个朋友让我去帮他看一下他的linux服务器.说是apache启动不了,有很多诡异的情况.后来证明绝不是apache启动不了这么简单.登上服务器之后随便看了下
szyangxiao·2013-10-15 11:51

[置顶] 绕过VMware虚拟机登录认证神器—VMInjector

删除已经被下载过资源的文章被管理员从主页上撤下,导致我三天内不能发文章到首页,但是昨天看到了一个关于《绕过VMware虚拟机登录认证神器—VMInjector(含使用心得)》【参见原文:http://www.freebuf.com
ssergsw·2013-10-10 07:00

利用URLScan工具过滤URL中的特殊字符(仅针对IIS6)

字符猜解暴露短文件/文件夹名,比如,采用这种方式构造URL:http://aaa.com/abc~1/.aspx,根据IIS返回的错误信息,猜测该路径或文件是否存在,具体可参考这篇文章:http://www.freebuf.com
·2013-09-25 19:00

渗透测试第一弹:信息刺探

渗透第一弹刺探信息:freebuf  1,分析目标网站内容及功能(1) 首先确定网站采用何种语言编写.或者是否有混用的情况.此处可以通过查看网站源文件,观察网站链接,捕获提交请求等方式获取.(2) 爬行网站目录
星逝流·2013-09-03 21:46

Socks代理反弹突破内网(freebuf)

随着信息安全意识的提升,越来越多的信息系统前端均部署有防火墙,系统管理员根据业务需求将内部必要的服务端口通过端口映射等手段映射到公网中,如默认web服务端口80、MSSQL数据库服务端口1433等。通过部署防火墙可以将信息系统内部区域与公网逻辑隔离开来,利用相关的策略有效避免或减轻来自外部的攻击。对于渗透测试者来说,如何绕过防火墙的阻挡在内网展开渗透测试成为亟需解决的问题,本文介绍了在夺取映射到外
cnbird2008·2013-09-02 09:51

浅谈android手机木马手工查杀

http://www.freebuf.com/articles/wireless/11175.html版权所有,转载请注明作者以及来源FreebuF.COM,违者必究。 
asmcvc·2013-08-22 17:00

[置顶] 好文章总结记录

python:http://www.freebuf.com/tools/3503.html   [Python脚本]AdminFinder管理后台扫描工具http://blog.csdn.net/littlethunder
oMingZi12345678·2013-08-19 17:00

2013年全球重要黑客大会一览

2013年全球重要黑客大会一览发表于2013-02-2814:30|12641次阅读|来源Freebuf|34条评论|作者CSDNsecurity黑客大会安全大会摘要:一大群极具破坏性的人聚集在一起会干什么
584250550·2013-07-30 17:45

[电子书]渗透测试框架Metasploit基础(中文版PDF)

来源:Gall@周边@freebuf整理此文档,纯粹出于兴趣爱好,如果有涉及版权的问题,请联系原文档的作者。由于本人能力有限,文档中难免会有些错误,欢迎大家指正。
BlAckEagle·2013-07-25 15:00

分享一段struts st2漏洞批量查找的Python代码

来源:x55admin@freebuf#!/usr/bin/envpython #-*-coding:cp936-*- #by:x55admin #用法:Key?
BlAckEagle·2013-07-25 15:00

struts安全漏洞

安全漏洞http://netsecurity.51cto.com/art/201305/395081.htmhttp://zone.wooyun.org/content/3880http://www.freebuf.com
john521·2013-07-23 09:00
上一页 14 15 16 17 18 19 20 21 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他