1、漏洞理解 点击劫持(Click Jacking)是一种视觉上的欺骗手段,攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,通过调整iframe页面的位置,可以使得伪造的页面恰好和iframe里受害页面里一些功能重合(按钮),以达到窃取用户信息或者劫持用户操作 ...
分类:
其他好文 时间:
2020-05-22 00:18:02
阅读次数:
275
红日安全简介红日安全民间团队成立于2016年,专注于APT***、威胁情报、漏洞挖掘、企业安全、代码审计、AI安全、CTF竞赛及安全人才培养。团队成员来自奇安信、绿盟、阿里、金融公司、传统行业等公司,且也有部分在校学生与自由职业者。自团队成立以来,已荣获来自CarSRC、字节跳动SRC等企业致谢。团队成员也曾参与DDCTF、XCTF、网鼎怀CTF等多项CTF竞赛,并荣获2018网鼎怀全国网络安全大赛
分类:
其他好文 时间:
2020-02-19 01:15:46
阅读次数:
115
1.危害 攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。 2.利用 使用工具GitHack GitHack.py http://www.openssl.org/.git/ 3.防御 及时删除.git文件夹 发布页面时 ...
分类:
其他好文 时间:
2019-12-30 11:55:52
阅读次数:
78
1.危害 SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。 2.利用 3.防御 用户可参考如下供应商提供的 ...
分类:
其他好文 时间:
2019-12-30 11:29:52
阅读次数:
92
生活就是泥沙俱下,鲜花和荆棘并存。——毕淑敏1、明确目标2、信息收集3、漏洞挖掘和利用信息收集明确路径利用目录扫描工具,对目标网站进行扫描,获取网站目录。常用工具有Kali中的DirBuster、dirb和wwwscan等。我用的是Kali中的DirBuster,对目标进行扫描。明确版本利用内置的文... ...
分类:
Web程序 时间:
2019-12-25 23:59:04
阅读次数:
159
1.思路 查找一些跳转的页面,比如从退出页面,登录页面. 2.利用 https://url/signout?returnUrl=https://www.baidu.com 3.防御 (1) 代码固定跳转地址,不让用户控制变量 (2)跳转目标地址采用白名单映射机制 (3)合理充分的校验校验跳转的目标地 ...
分类:
Web程序 时间:
2019-12-14 12:16:48
阅读次数:
121
1.思路: 邮箱轰炸和短信轰炸思路是一样的,没有做相应的限制. 2.利用: 3.防御: 建议对此处的短信发送进行时间限制。 ...
分类:
其他好文 时间:
2019-12-14 12:05:47
阅读次数:
109
SRC目标搜集 首先得知道SRC厂商的关键字,利用脚本搜集一波。 比如【应急响应中心】就可以作为一个关键字。通过搜索引擎搜索一波,去重,入库。 SRC基础信息收集 微信公众号、xxsrc微信群。主要关注双倍积分活动、奖励大小、技术交流群里的信息。 通过公开信息掌握基础漏洞 在公开了漏洞标题的平台找最 ...
分类:
其他好文 时间:
2019-11-07 23:48:45
阅读次数:
174