商务合作: on9gcn@163.com skype: sam793561805

漏洞预警

1 CVE-2016-8655:Linux内核竞争条件漏洞,可致本地提权 (附PoC)
CVE-2016-8655:Linux内核竞争条件漏洞,可
Seclists.org最新披露了Linux的竞争条件漏洞,漏洞编号为CVE-2016-8655。此漏洞可用于 ……
2 【漏洞预警】ImageMagick压缩TIFF图片远程代码执行漏洞(CVE-2016-8707)
【漏洞预警】ImageMagick压缩TIFF图片远程
漏洞概述近日,Cisco Talos发布了一条关于ImageMagick远程代码执行漏洞的通告:Vulner ……
3 Apache Tomcat再曝远程代码执行漏洞(CVE-2016-8735)
Apache Tomcat再曝远程代码执行漏洞(CVE-20
时隔十月发布的CVE-2016-5425 Apache Tomcat本地提权漏洞预警不久,近日Apache Tomcat ……

网络安全

  • 安全文章
  • 渗透技术
  • 安全工具
    • 一个Banner就感染了上百万PC,雅虎、MSN等

      一个广告Banner,不需要任何交互就能让你的PC感染恶意程序,是不是感觉很牛掰?据说就目前为止,已经有上百万PC因为这样的原因被感染。而且很多大型网站似乎都中招了,其中就包括雅虎和MSN,如果你最近看到过下面这 ...

      2016-12-0909
    • 小技巧:如何发现是否有人用USB偷插你的电

      你或许不会知道,咱们其实可以用windows注册表来检测是否曾经有一个特殊的USB设备连接过你的电脑。验证USB设备的插入的重要性大家可能不会相信,也许有一天咱们真会用上这个小技巧。比如你朋友的移动硬盘里被警察从 ...

      2016-12-0903
    • 企业安全团队强大与否,看这八个关键指标

      概述安全人员喜欢用一些比较消极的方法来防御恶意攻击,比如“没有消息就是最好的消息”(此说法源自美国南北战争时期,由于打战死人后,家人都要收到阵亡通知书,所以人们很害怕得到噩耗,相反,如果没有什么消息则 ...

      2016-12-0804
    • 谁对企业安全工作有最大推动力?

      企业安全的大环境根据企业或组织的不同规模,对企业信息安全的发展最具影响力的人物一般都是C级高管(CEO、CTO、CFO或COO等等)或董事会成员。不过在很多规模较小的组织中,负责信息安全保护任务的很可能会是非管理 ...

      2016-12-0407
    • WiFi信号干扰可以泄漏你的密码和敏感信息

      研究人员发现,你在手机上输入密码时,肢体动作会干扰WiFi信号,黑客可通过分析WiFi信号干扰,窃取你的敏感信息,比如你的密码、PINs以及按键信息等。 近日,来自上海交通大学、南佛罗里达大学和波士顿马萨诸塞大学 ...

      2016-12-04011
    • 如何正确响应安全事件?

      在当今这个信息技术高度发达的时代,每一个组织和机构都要时刻准备着与信息安全威胁作斗争。在这场没有硝烟的信息化战争中,企业或组织不应该孤身奋战,而是应该与某些安全技术合作,以共同应对日趋复杂的安全风险。 ...

      2016-12-0405
    • 企业级物联网系统安全如何做?

      0×00、前言最近因为工作关系接触到很多新兴物联网企业。各个企业对自身物联网安全没有一个整体的概念,同时对于解决方案提供商来说,物联网厂商对他们有很重的安全方面的要求。要么自研或者寻找现成的安全解决方案 ...

      2016-11-3003
    • Linux强化论:15步打造一个安全的Linux服务

      可能大多数人都觉得Linux是安全的吧?但我要告诉你,这种想法绝对是错误的!假设你的笔记本电脑在没有增强安全保护的情况下被盗了,小偷首先就会尝试用“root”(用户名)和“toor”(密码)来登录你的电脑,因为这 ...

      2016-11-30013
    • 德国电信断网事件详细分析:mirai僵尸网络

      前言德国电信在2016年11月28日前后遭遇一次大范围的网络故障。在这次故障中,2千万固定网络用户中的大约90万个路由器发生故障(约4.5%),并由此导致大面积网络访问受限。很多媒体给出了网络受限的示意图,如下。德 ...

      2016-11-3009
    • 内网穿透:Android木马进入高级攻击阶段

      概述近日,360烽火实验室发现有数千个样本感染了一种名为“DressCode”的恶意代码,该恶意代码利用实下流行的SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据。这种通过代理穿透内网绕过防火墙的手段在PC上并不 ...

      2016-12-0402
    • 个人情报收集系统浅谈

      前言IT的全称为information technology,即为信息科技。可以说在这个网络世界中,信息即为这个世界中的根本,而掌握了信息也就掌握了IT世界,这个理论同样适用于网络安全行业。任何网络攻击,前期最重要的部分即是信 ...

      2016-11-08010
    • Metasploitable 2系列教程:漏洞评估

      漏洞评估是所有渗透测试环节中非常重要的一部分,也是识别和评估目标系统漏洞的一个过程。本篇文章中,我们将从 Metasploitable 2 虚拟机的网络侧,对可获取的漏洞进行评估。在之后的教程中,我们还将对 Metasploita ...

      2016-11-0804
    • 实用技巧:如何通过IP地址进行精准定位

      在甲方工作的朋友可能会遇到这样的问题,服务器或者系统经常被扫描,通过IP地址我们只能查到某一个市级城市,如下图: 当我们想具体到街道甚至门牌号,该怎么办???偶然间发现百度地图有高精度IP定位API的接口,通 ...

      2016-10-2809
    • 子域名搜集思路与技巧梳理

      前言本文适合Web安全爱好者,其中会提到8种思路,7个工具和还有1个小程序,看本文前需要了解相关的Web基础知识、子域名相关概念和Python 程序的基础知识。感谢我的好友龙哥的技巧大放送以及Oritz分享的小程序~首先我 ...

      2016-10-2009
    • 揭秘花招最多的三种敲诈者木马

      前言对于一个“正经”的黑产从业者来说,利益最大化是他所追求的目标,而利益最大化的实现无非需要两个方面来支撑,一是成本最小化,二是收入最大化。当然,那些制作、传播敲诈者木马的黑产从业者也深谙此道。为了实 ...

      2016-10-1207
    • 打开文件夹就运行?COM劫持利用新姿势

      打开文件夹就能运行指定的程序?这不是天方夜谭,而是在现实世界中确实存在的。利用本文探讨的COM劫持技术,可以轻松实现出打开文件夹就运行指定代码的功能。对于COM劫持技术,国内很少有资料进行原理阐述,本文结合 ...

      2016-09-27011
    • Windows内网渗透提权的几个实用命令

      这不是一篇渗透测试指导,而是简单介绍了几个Windows内网提权的实用命令,以供我等菜鸟学习观摩,还望大牛包涵指导。1.获取操作系统信息识别操作系统名称及版本:C:Usersthel3l systeminfo | findstr /B /C:"OS ...

      2016-09-25017
    • 在OS X 平台下利用恶意软件实现密码拦截与

      前言就在几周之前,一则关于“Dropbox攻击Mac OSX”的新闻出现在了在各大安全网站的头条上。当Mac用户安装好Dropbox之后,它便会要求你输入管理员密码,Dropbox会使用这个密码获取OSX的root访问权限,然后利用这种特 ...

      2016-09-23011
    • 隐秘通讯与跳板?C&C服务器究竟是怎么一

      *本文涉及的工具和技术有可能具有一定攻击性,仅供安全学习和教学用途,禁止非法使用CC服务器,其全称为command and control server。我们在诸多文章中曾看到过,CC服务器不仅可以为攻击者提供便利的资源管理平台, ...

      2016-09-23021
    • burpsuite_pro_v1.7.11破解版(含下载)

      BurpSuite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通过拦截HTTP/HTTPS的web ...

      2016-12-0804
    • 关于机器学习在网络安全中的五大误解

      机器学习已经渗透到了人类活动的所有领域,它不仅在语音识别、手势识别、手写识别和图像识别上起着关键的作用,这些领域如果没有机器学习在现代医学、银行、生物信息和存在任何质量控制的行业中都是一个灾难。甚至机 ...

      2016-11-3003
    • WAFNinja:灵活的WAF自动化Fuzz工具

      WAFNinja是一款用python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。工具简介这款工具里有许多的攻击payload和用于fuzz的字符串,都储 ...

      2016-11-3002
    • 高级自动化钓鱼框架PhishLulz已经发布,是

      2016年11月的新西兰黑客大会Kiwicon上,FortConsult的网络安全专家Michele Orru发布了一款自动化网络钓鱼工具,并且将其命名为PhishLulz。这个钓鱼框架主要是由ruby所编写,并且运行起来十分高效。在演示过程中,安 ...

      2016-11-2308
    • APK文件分析工具:AppMon

      对手机恶意软件研究人员来说,有很多APP行为分析工具可以选择,在这里,我要向大家推荐的是AppMon,它可以通过二进制指令获取app程序运行记录,并显示调用函数和相关参数。AppMon工作原理AppMon使用了多平台动态框架 ...

      2016-11-2306
    • 渗透测试神器Burp Suite v1.7.08发布(含下

      众所周知,Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析,到寻找和利用安全漏洞等过程,所有工具为支持整体测试程序而无缝地在一起工作。拦截代理(Proxy),你可以检查和 ...

      2016-11-08011
    • 安卓手机的后门控制工具SPADE

      SPADE,一款安卓手机的后门控制工具,安全研究人员可以以此了解和研究安卓后门原理。首先,我们从网站www.apk4fun.com下载apk文件,如ccleaner。然后,我们安装spadegit clonehttps://github.com/suraj-root/spade.g ...

      2016-10-28010
    • 新一代黑客工具套件OffensiveWare

      恶意软件舞台上上演的最新戏码就是一套新的黑客工具出现在OffensiveWare旗下的广告宣传中。这些工具用于恶意软件即服务(Malware-as-a-Service,MaaS )工具包出租业务。目前正在黑客论坛中出售,出售者与开发Aaron远 ...

      2016-10-2009
    • 国产“一句话”管理工具:开山斧

      前言工具名称开山斧0.3.5重要的事情提前说软件跨平台,并且已经开源,不用担心有后门,也可以根据自己的需求进行功能二次开发。或者反馈给他们,作者很靠谱。目前支持语言PHPASPASPXGIT开源地址https://github.com/p ...

      2016-10-1805
    • 神器Nmap web版:Rainmap Lite

      0×00 前言Rainmap Lite 是一款Nmap对应Web应用程序,它允许用户从他们的手机/平板电脑/网络浏览器启动Nmap扫描!不像它的前身 ,Rainmap Lite并不依赖特殊服务(RabbitMQ,PostgreSQL,Celery, supervisor等),它 ...

      2016-10-1008

关注我们

阅读排行

渗透笔记

返回顶部