商务合作: on9gcn@163.com skype: sam793561805

漏洞预警

1 思科CloudCenter Orchestrator系统曝提权漏洞CVE-2016-9223
思科CloudCenter Orchestrator系统曝提权漏
思科提醒用户Cisco CloudCenter Orchestrator系统存在提权漏洞——CVE-2016-9223,可 ……
2 PHPMailer曝远程代码执行高危漏洞(CVE-2016-10033)
PHPMailer曝远程代码执行高危漏洞(CVE-201
这次曝出远程代码执行漏洞的是堪称全球最流行邮件发送类的PHPMailer,据说其全球范围 ……
3 PHPMailer曝远程代码执行高危漏洞(CVE-2016-10033)
PHPMailer曝远程代码执行高危漏洞(CVE-201
这次曝出远程代码执行漏洞的是堪称全球最流行邮件发送类的PHPMailer,据说其全球范围 ……

网络安全

  • 安全文章
  • 渗透技术
  • 安全工具
    • 【FreeBuf年终策划】2016年Exploit Kits漏

      本文将简单介绍2016年漏洞工具包(Exploit Kits)中的漏洞榜TOP 10。前情提要从2015年11月16日-2016年11月15日,Adobe Flash Player占了2016漏洞工具包TOP 10漏洞中的6个席位。在Adobe官方对安全问题加强重视后,黑 ...

      2016-12-2606
    • 一个Banner就感染了上百万PC,雅虎、MSN等

      一个广告Banner,不需要任何交互就能让你的PC感染恶意程序,是不是感觉很牛掰?据说就目前为止,已经有上百万PC因为这样的原因被感染。而且很多大型网站似乎都中招了,其中就包括雅虎和MSN,如果你最近看到过下面这 ...

      2016-12-09016
    • 小技巧:如何发现是否有人用USB偷插你的电

      你或许不会知道,咱们其实可以用windows注册表来检测是否曾经有一个特殊的USB设备连接过你的电脑。验证USB设备的插入的重要性大家可能不会相信,也许有一天咱们真会用上这个小技巧。比如你朋友的移动硬盘里被警察从 ...

      2016-12-09021
    • 企业安全团队强大与否,看这八个关键指标

      概述安全人员喜欢用一些比较消极的方法来防御恶意攻击,比如“没有消息就是最好的消息”(此说法源自美国南北战争时期,由于打战死人后,家人都要收到阵亡通知书,所以人们很害怕得到噩耗,相反,如果没有什么消息则 ...

      2016-12-0808
    • 谁对企业安全工作有最大推动力?

      企业安全的大环境根据企业或组织的不同规模,对企业信息安全的发展最具影响力的人物一般都是C级高管(CEO、CTO、CFO或COO等等)或董事会成员。不过在很多规模较小的组织中,负责信息安全保护任务的很可能会是非管理 ...

      2016-12-04013
    • WiFi信号干扰可以泄漏你的密码和敏感信息

      研究人员发现,你在手机上输入密码时,肢体动作会干扰WiFi信号,黑客可通过分析WiFi信号干扰,窃取你的敏感信息,比如你的密码、PINs以及按键信息等。 近日,来自上海交通大学、南佛罗里达大学和波士顿马萨诸塞大学 ...

      2016-12-04013
    • 如何正确响应安全事件?

      在当今这个信息技术高度发达的时代,每一个组织和机构都要时刻准备着与信息安全威胁作斗争。在这场没有硝烟的信息化战争中,企业或组织不应该孤身奋战,而是应该与某些安全技术合作,以共同应对日趋复杂的安全风险。 ...

      2016-12-0407
    • 企业级物联网系统安全如何做?

      0×00、前言最近因为工作关系接触到很多新兴物联网企业。各个企业对自身物联网安全没有一个整体的概念,同时对于解决方案提供商来说,物联网厂商对他们有很重的安全方面的要求。要么自研或者寻找现成的安全解决方案 ...

      2016-11-3006
    • Linux强化论:15步打造一个安全的Linux服务

      可能大多数人都觉得Linux是安全的吧?但我要告诉你,这种想法绝对是错误的!假设你的笔记本电脑在没有增强安全保护的情况下被盗了,小偷首先就会尝试用“root”(用户名)和“toor”(密码)来登录你的电脑,因为这 ...

      2016-11-30023
    • 刷机教程:教你如何打造一台渗透测试手机

      我们下面会给大家展示怎样打造自己的攻击测试手机,大家可以在上面跑Kali系统和AOPP(安卓开源攻击测试项目)。简述手机刷机1. 按照你的手机型号下载Recovery镜像https://twrp.me/Devices2. 将设备通过USB线连接电脑 ...

      2016-12-1507
    • 内网穿透:Android木马进入高级攻击阶段

      概述近日,360烽火实验室发现有数千个样本感染了一种名为“DressCode”的恶意代码,该恶意代码利用实下流行的SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据。这种通过代理穿透内网绕过防火墙的手段在PC上并不 ...

      2016-12-0406
    • 个人情报收集系统浅谈

      前言IT的全称为information technology,即为信息科技。可以说在这个网络世界中,信息即为这个世界中的根本,而掌握了信息也就掌握了IT世界,这个理论同样适用于网络安全行业。任何网络攻击,前期最重要的部分即是信 ...

      2016-11-08013
    • Metasploitable 2系列教程:漏洞评估

      漏洞评估是所有渗透测试环节中非常重要的一部分,也是识别和评估目标系统漏洞的一个过程。本篇文章中,我们将从 Metasploitable 2 虚拟机的网络侧,对可获取的漏洞进行评估。在之后的教程中,我们还将对 Metasploita ...

      2016-11-0806
    • 实用技巧:如何通过IP地址进行精准定位

      在甲方工作的朋友可能会遇到这样的问题,服务器或者系统经常被扫描,通过IP地址我们只能查到某一个市级城市,如下图: 当我们想具体到街道甚至门牌号,该怎么办???偶然间发现百度地图有高精度IP定位API的接口,通 ...

      2016-10-2809
    • 子域名搜集思路与技巧梳理

      前言本文适合Web安全爱好者,其中会提到8种思路,7个工具和还有1个小程序,看本文前需要了解相关的Web基础知识、子域名相关概念和Python 程序的基础知识。感谢我的好友龙哥的技巧大放送以及Oritz分享的小程序~首先我 ...

      2016-10-2009
    • 揭秘花招最多的三种敲诈者木马

      前言对于一个“正经”的黑产从业者来说,利益最大化是他所追求的目标,而利益最大化的实现无非需要两个方面来支撑,一是成本最小化,二是收入最大化。当然,那些制作、传播敲诈者木马的黑产从业者也深谙此道。为了实 ...

      2016-10-1207
    • 打开文件夹就运行?COM劫持利用新姿势

      打开文件夹就能运行指定的程序?这不是天方夜谭,而是在现实世界中确实存在的。利用本文探讨的COM劫持技术,可以轻松实现出打开文件夹就运行指定代码的功能。对于COM劫持技术,国内很少有资料进行原理阐述,本文结合 ...

      2016-09-27011
    • Windows内网渗透提权的几个实用命令

      这不是一篇渗透测试指导,而是简单介绍了几个Windows内网提权的实用命令,以供我等菜鸟学习观摩,还望大牛包涵指导。1.获取操作系统信息识别操作系统名称及版本:C:Usersthel3l systeminfo | findstr /B /C:"OS ...

      2016-09-25017
    • 在OS X 平台下利用恶意软件实现密码拦截与

      前言就在几周之前,一则关于“Dropbox攻击Mac OSX”的新闻出现在了在各大安全网站的头条上。当Mac用户安装好Dropbox之后,它便会要求你输入管理员密码,Dropbox会使用这个密码获取OSX的root访问权限,然后利用这种特 ...

      2016-09-23011
    • 五大安全研究者必用的搜索引擎

      CNN 曾在 2013 年 4 月 8 日 的新闻报道中称 Shodan 是“互联网上最可怕的搜索引擎”。 甚至光是听它的名字,就让人觉得不寒而栗! 那只是三年前对 Shodan 的描述,而三年后的今天,随着物联网的不断普及,Shodan 也 ...

      2016-12-2206
    • 沙盒版TOR浏览器上线,这次的“面具”还能

      Tor project最近发布了沙盒版的Tor浏览器(Sandboxed Tor Browser 0.0.2)Alpha版本。可能绝大部分小伙伴并不知道,以前的Tor浏览器是没有沙盒的!所以这个沙盒版的出现,就是为了进一步保证Tor用户的真实身份不会泄 ...

      2016-12-1903
    • burpsuite_pro_v1.7.11破解版(含下载)

      BurpSuite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通过拦截HTTP/HTTPS的web ...

      2016-12-0805
    • 关于机器学习在网络安全中的五大误解

      机器学习已经渗透到了人类活动的所有领域,它不仅在语音识别、手势识别、手写识别和图像识别上起着关键的作用,这些领域如果没有机器学习在现代医学、银行、生物信息和存在任何质量控制的行业中都是一个灾难。甚至机 ...

      2016-11-3004
    • WAFNinja:灵活的WAF自动化Fuzz工具

      WAFNinja是一款用python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。工具简介这款工具里有许多的攻击payload和用于fuzz的字符串,都储 ...

      2016-11-3002
    • 高级自动化钓鱼框架PhishLulz已经发布,是

      2016年11月的新西兰黑客大会Kiwicon上,FortConsult的网络安全专家Michele Orru发布了一款自动化网络钓鱼工具,并且将其命名为PhishLulz。这个钓鱼框架主要是由ruby所编写,并且运行起来十分高效。在演示过程中,安 ...

      2016-11-23010
    • APK文件分析工具:AppMon

      对手机恶意软件研究人员来说,有很多APP行为分析工具可以选择,在这里,我要向大家推荐的是AppMon,它可以通过二进制指令获取app程序运行记录,并显示调用函数和相关参数。AppMon工作原理AppMon使用了多平台动态框架 ...

      2016-11-2307
    • 渗透测试神器Burp Suite v1.7.08发布(含下

      众所周知,Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析,到寻找和利用安全漏洞等过程,所有工具为支持整体测试程序而无缝地在一起工作。拦截代理(Proxy),你可以检查和 ...

      2016-11-08012
    • 安卓手机的后门控制工具SPADE

      SPADE,一款安卓手机的后门控制工具,安全研究人员可以以此了解和研究安卓后门原理。首先,我们从网站www.apk4fun.com下载apk文件,如ccleaner。然后,我们安装spadegit clonehttps://github.com/suraj-root/spade.g ...

      2016-10-28012
    • 新一代黑客工具套件OffensiveWare

      恶意软件舞台上上演的最新戏码就是一套新的黑客工具出现在OffensiveWare旗下的广告宣传中。这些工具用于恶意软件即服务(Malware-as-a-Service,MaaS )工具包出租业务。目前正在黑客论坛中出售,出售者与开发Aaron远 ...

      2016-10-20012

关注我们

阅读排行

渗透笔记

返回顶部