原创 打個響指Selenium自動化開啓
最近鬥哥在朋友的影響下,接觸了自動化測試工具中的一個項目:appium自動化測試腳本。appium類庫封裝了標準Selenium客戶端類庫,爲用戶提供所有常見的JSON格式selenium命令以及額外的移動設備控制相關的命令,所以在講app
2018-12-17 12:00:12
原创 專屬| USPS站點緊急修復漏洞
假裝認真工作篇01 【熱搜】新Rowhammer攻擊可能繞過ECC 保護Rowhammer 漏洞是指 DRAM 臨近內存單元之間電子的互相影響,當重複訪問特定內存位置數百萬次後,攻擊者可以讓該位置的值從 0 變成 1,或從 1 變成 0。這
2018-12-17 12:00:11
原创 專屬| 7種新預測執行攻擊被爆出
假裝認真工作篇【熱搜】研究人員報告7種新的預測執行攻擊近日,研究人員報告了七種新的預測執行攻擊。其中一種是新的Meltdown攻擊變種,利用了英特爾的Protection Keys for Userspace,另一個攻擊則利用了英特爾的Me
2018-12-14 11:25:28
原创 看!我手裏有個Email收集神器
故事背景衆所周知,在工作中,大家用到最多的便是Email來傳輸工作內容,因此,像一些VPN信息、服務器賬號密碼、公司人員清單等敏感數據,均會通過Email進行傳輸,並且更重要的是,大部分工作人員,在傳輸這些數據時,是爲進行過加密的。記得在某
2018-12-14 11:25:27
1
原创 專屬| 200餘個惡意程序被曝光
【熱搜】200餘個惡意程序被曝光通過自主監測和樣本交換形式,國家互聯網應急中心近日共發現202個竊取用戶個人信息的惡意程序變種,感染用戶3822個。該類病毒通過短信進行傳播會私自竊取用戶短信和通訊錄,對用戶信息安全造成嚴重安全威脅。這批惡意
2018-12-11 10:50:07
原创 天空飄來五字:Android逆向smali
本期,我們將繼續Android逆向動態分析之smali篇。內容包括smali語言介紹與動態調試。0X01 smali語言簡述smali語言是Dalvik的反彙編語言因Android虛擬機Dalvik不是執行java虛擬機JVM編譯後生成的c
2018-12-11 10:49:56
6
原创 業務邏輯漏洞探索之繞過驗證
本文中提供的例子均來自網絡已公開測試的例子,僅供參考。本期帶來繞過驗證漏洞。爲了保障業務系統的安全,幾乎每個系統都會存在各種各樣的驗證功能。常見的幾種驗證功能就包括賬號密碼驗證、驗證碼驗證、JavaScript數據驗證及服務端數據驗證等等,
2018-12-07 10:00:28
2
原创 專屬| 千萬臺服務器遭受DoS 攻擊
【熱搜】Windows文件中隱藏加密貨幣挖掘惡意軟件日前安全研究人員表示,黑客在僞裝加密貨幣挖掘惡意軟件,並將其作爲合法的Windows安裝包傳遞出去。這種惡意軟件,通常被稱爲Coinminer,使用了一系列混淆方法,使其攻擊特別難以檢測。
2018-12-07 10:00:28
原创 業務邏輯漏洞探索之越權漏洞
Q:本文中提供的例子均來自網絡已公開測試的例子,僅供參考。A:本期鬥哥帶來越權漏洞和大家探討探討。什麼是越權呢?越權,顧名思義,就是超出了權限或權力範圍。多數WEB應用都具備權限劃分和控制,但是如果權限控制功能設計存在缺陷,那麼攻擊者就可以
2018-11-30 14:46:22
4
原创 專屬| 940萬名客戶信息遭泄露
【熱搜】國泰航空940萬名客戶信息泄露據報道,日前大型國際航空公司國泰航空披露,在今年3月發生的一次數據泄露事件中,該公司的940萬名乘客的記錄被盜,含有姓名、出生日期、住址等個人信息的護照信息也可能已經泄露。據悉,此次事件還涉及到了每位乘
2018-11-30 14:46:15
原创 官宣| 反手就送你們一個hook神器
上期的Android逆向之動態分析so篇大家學習的如何啦?本期鬥哥將帶來Android逆向之動態分析Frida篇。主要內容有Frida環境搭建與Frida在Android環境下的運行與使用。0X01 Frida框架安裝詳解1.簡述:Frid
2018-11-08 16:08:02
5
原创 專屬| 加密貨幣挖礦攻擊急劇上升
假裝認真工作篇×××【熱搜】針對iOS設備的加密貨幣挖礦攻擊上升據外媒報道,來自Check Point研究團隊的《2018年9月全球威脅指數》數據顯示,針對iOS設備以及使用Safari瀏覽器設備的加密挖礦惡意軟件數量出現了近400%的增長
2018-11-08 16:07:51
原创 HASH函數燒腦大作戰
本期講解一下hash函數,由於之前在比賽中做到了一題hash有關的題目,引發了此次的深(燒)度(腦)研究,本來想講講原理,但是太難,看得很痛苦,所以此次通過結合CTF題來看看HASH的一些利用,一切從簡開始講述,小編是如何入坑的。認識一下H
2018-10-23 11:13:15
原创 專屬| 勒索軟件 Virobot 肆虐
假裝認真工作篇【熱搜】新型殭屍勒索軟件 Virobot 肆虐Outlook根據趨勢實驗室披露的安全報告,一種全新的僵屍網絡勒索軟件Virobot正通過微軟Outlook進行大肆傳播。報告中指出該惡意軟件同時兼具僵屍網絡和勒索軟件的特徵,在微
2018-10-23 11:13:15
2
原创 安全運維中基線檢查的自動化之ansible工具巧用
前幾周鬥哥分享了基線檢查獲取數據的腳本,但是在面對上百臺的服務器,每臺服務器上都跑一遍腳本那工作量可想而知,而且都是重複性的操作,於是鬥哥思考能不能找到一種方法來實現自動下發腳本,批量執行,並且能取回執行的結果。對比參考學習某些開源的平臺都
2018-10-23 11:13:15