摘要： Vulnerable Web Applications 阅读全文

摘要： 在线详细报告地址 http://files.cnblogs.com/files/microzone/%E2%80%9C%E5%B0%8F%E9%A9%AC%E6%BF%80%E6%B4%BB%E2%80%9D%E7%97%85%E6%AF%92%E6%96%B0%E5%8F%98%E7%A7%8D% 阅读全文

摘要： //经过样本分析和抓取，该恶意程序是款下载者木马。 //不懂的可以百度百科。 http://baike.baidu.com/link?url=0dNqFM8QIjEQhD71ofElH0wHGktIQ3sMxer47B4z_54LSHixZYLcNWDgisJAeMRN5yJKjMu3znZc_sM 阅读全文

摘要： 具体怎么编译，生成执行程序，不懂得先学习C++程序代码编译和集成开发环境。 多的不说了，只有两个代码文件，一个头文件，一个源文件。不多说了，直接上干货。 （恶意使用，或者商用，后果自负，与本人无关。） head.h main.cpp 阅读全文

摘要： 谷歌广纳黑客奇才，组建了黑客“梦之队”Project Zero，然而它的使命却不只是提高谷歌产品的安全性，它还会帮助其他公司寻找最易被黑客利用的零日漏洞2007年，17岁的乔治·霍茨成为世界上第一个破解iPhone的AT&T锁的人，当时，各家公司都没有理会他，只是忙着修补他披露出来的漏洞。之后，他又... 阅读全文

摘要： 据国外媒体报道，信息安全界流传着这样一个段子。如果你想成为某大公司的首席信息安全工程师，那么你有两条路可走：第一条就是从名校毕业，然后从最 基础的级别干起，每五年升一个职称，也许20年后你会成为这家公司的首席信息安全工程师；另外一条路就是直接黑了那家公司的系统，然后告诉他们的CEO这 是你干的。而今... 阅读全文

摘要： 春节在家就是打麻将，不亦乐乎，赢了一点零花钱，无聊后，看手机，浏览 Startup News，看到《真想注销删除我的 QQ 号》这篇文章。作者因为看到了有人用泄露的 QQ 群（好多年前的）做出的关系图谱而深感震惊，然后一种不安全感油然而生，然后想注销 QQ 服务。如果作者知道几乎所有的互联网重要隐私... 阅读全文

摘要： 你得学几招保护自己——By @余弦 2014.引子在这样混乱的互联网上，军阀割据的地盘中，你根本身不由己，当你接入互联网或陌生人的那一刻，你的隐私就失控了。拿到你隐私的坏蛋，他们可以偷窥你，可以诈骗你或你身边的人，可以利用你的隐私做出下三滥的事。他们不会可怜你，你得学几招保护自己，保护你重要的人……... 阅读全文

摘要： 0x00 背景相信曾经与黑色产业打过交道的同鞋们对这个话题并不陌生。赃款转移，是黑色产业链中最重要的一环，因为这一环直接与黑阔们的收入息息相关。赃款转移地太过安全，容易产生巨额手续费/汇率而导致收入减少。赃款转移不够安全，容易导致水表被查，也就是那句：有命赚钱没命花钱。下面将会在此文章中谈谈我曾经见... 阅读全文

摘要： 1、运用编码技术绕过如URLEncode编码，ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31，而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。2、通过空格绕过如两个空格代替一个空格，用Tab代替空格等，或者删除所有空格，如o... 阅读全文

摘要： #!/usr/bin/env python# -*- coding: utf-8 -*- # Exploit Title: ZTE and TP-Link RomPager DoS Exploit# Date: 10-05-2014# Server Version: RomPager/4.07 UP... 阅读全文

摘要： #!/usr/bin/python # Exploit Title: Kingsoft Office Writer v2012 8.1.0.3385 .wps Buffer Overflow Exploit (SEH) # Version: 2012 8.1.0.33... 阅读全文

摘要： 黑客，英文hacker。精通计算机各类技术的计算机高手，泛指擅长IT技术的人群、计算机科学家。最近受某机构所托搜集国内活跃黑客近况。本着客观专业，权威可信的原则参考了国内从00年到最新的黑客榜单，以及通过微博、博客、网站的观察，线上线下翻山越岭的走访现整理出《2014中国黑客榜》。上榜依据为技术水平... 阅读全文

摘要： 最佳企业安全博客提名：Juniper（网络厂商，不用多介绍）：http://forums.juniper.net/t5/Security-Mobility-Now/bg-p/networkingnowNorse（提供前摄性的安全解决方案，基于dark intelligence平台防御当局高级威胁：http://norse-corp.com/blog-index.htmlRedSeal Networks（安全管理解决方案）: http://blog.redsealnetworks.com/Solutionary Minds: http://www.solutionary.com/resource 阅读全文

摘要： X Windows系统，今天作为世界各地的Linux桌面，已经存在超过20年了，仍然存在Bug。几天前Sysadmins为libXfont库提供了补丁，来对应新发现的已经在代码中存在了22年的特权升级漏洞，补丁抢在了让人厌烦的exploit前发布了。这一漏洞可以使得登入到一个存在漏洞的机器的人将X服务搞崩溃，或者执行输入代码后成为超级用户。在混沌通信大会（译注：始于1984年，由欧洲最大的黑客联盟组织——德国混沌电脑俱乐部主办。该会议主要研讨计算机和网络安全问题，旨在推进计算机和网络安全。开始多是热爱计算机的黑客参与，其后不断吸引科学家、安全专家和计算机爱好者参加，因此也有人称之为欧州黑客大会 阅读全文

摘要： 近来在笔者所参与的一款产品中涉及到口令安全的功能设计，其中一项功能是有关于口令强度的。在设计该功能过程中势必涉及到口令强度的划分设计，怎样的口令才算是低强度的，怎样的口令才算是高强度的？目前诸多的Web系统注册功能中的口令强度设计及划分也无统一标准，更有甚者是直接根据口令长度来设计的口令强度划分。如果要评判一则口令是强是弱，就必须先考虑影响口令强度的因素：复杂性和长度，因为我们在输入口令时只有这两种维度的选择：要么多输入一些特殊字符增强复杂性，要么多输入一些混合字符/字母增加口令长度。在不考虑拖库、社工等口令获取方式的前提条件下，通常情况下，破解口令仅有暴力破解的方式可以选择，其中亦包括字典攻 阅读全文

摘要： 奇虎360由周鸿祎创立于2005年9月，主营以360安全卫士、360杀毒为代表的免费网络安全平台，同时拥有奇虎问答等独立业务，董事长是周鸿祎。公司主要依靠在线广告及互联网增值业务创收。岗位描述:1、能主动关注国内外最新安全攻防技术，并在自己擅长和兴趣的领域能够进行深入的学习、研究2、能及时跟踪国内外安全动态，对安全事件进行快速响应能力要求:1.熟练掌握目前包括Windows、linux、移动终端上的主流的攻防手段、技术、工具等2.对Web安全、服务端安全、客户端安全、移动安全、无线安全、物联网安全等有深入了解和研究3.具备至少一门语言熟练编程能力4.具备英语读写能力，能熟练阅读英文技术文档，较 阅读全文

摘要： 阿联酋目前想与法国的公司终止两个隼眼（Falcon Eye）间谍卫星的供应合同，而究其原因是由于在卫星中存在影响安全的组件。阿拉伯联合大公国可将取消与法国的两个情报卫星的供应合同，原因是声称其中含有“影响安全的组件”。阿联酋声称他们已经在卫星上发现了美国提供的后门，这一消息已经公布了国防部新闻上，并进一步揭示了他们可能会终止与法国的一份$ US930万美元的合同。该合同，签订于2013年7月，合同内容包括一个地面站，昴宿星型卫星（又名隼眼），并将在2018年交付。这则消息由阿联酋的一家公司揭露，该公司是空客防务和航天的承包商和有效载荷的制造商。“如果这个问题不解决，阿联酋将取消这个交易，”他补 阅读全文

摘要： 2013年即将过去，提前祝大家元旦快乐，极客范整理出了本年度最受欢迎的前10篇博文，每篇文章仅添加了摘要。如果您是我们的新访客，那下面这些文章不能错过。如果您是老朋友了，这些文章同样值得回味一番。0.《敢偷用我的WiFi？看我怎么治你》我的邻居正在盗用我的WiFi，唔，对此我可以直接选择加密口令，或者…作为一名极客我也可以耍耍他。1.《我拿树莓派来做什么》树莓派是一种便宜的卡片式Linux电脑，风靡全球。它是世界上众多廉价又成熟的电脑之一，只要35美元，而且十分容易上手。树莓派有成千上万种玩法，但我常常发现有些人心血来潮买了树莓派后，却突然不知道自己要用它来做什么了。现在我就记录下我现在和过去 阅读全文

摘要： 今天早上，我们捕获到一个利用wps 2012/2013 0day针对中国政府部门的钓鱼邮件定向攻击事件。邮件发件人以2014中国经济形势解析高层报告组委会 标题发出，附件为包含wps2012 0day的攻击文件，目前为止该攻击文件没有杀毒软件可以查杀。一旦使用WPS 2012 打开文件攻击成功，会释放打开一个迷惑性的正常文件 2014中国经济形势解析高层报告会.doc,并且释放运行 win32_453B.dll_,IE7.EXE_,hostfix.bat_.目前不确认该0day是否跟前端时间国外exploit-db上是否是一个漏洞，我们还在持续分析跟踪，敬请关注。同时，我们也正在协助客户分析事 阅读全文

摘要： #!/usr/bin/python# Exploit Title: Kingsoft Office Writer v2012 8.1.0.3385 .wps Buffer Overflow Exploit (SEH)# Version: 2012 8.1.0.3385# Date: 2013-11-27# Author: Julien Ahrens (@MrTuxracer)# Homepage: http://www.rcesecurity.com# Software Link: http://www.kingsoftstore.com#... 阅读全文

摘要： 最近，Google针对gmail被攻击事件，全面默认启用了始终以https访问Gmail的方式了。但是，对于可以动用整个国家力量的黑客来说，从网络通讯数据中（在此不讨论对用户电脑种木马破解https的情况，只讨论在网络通讯数据中破解https的方法）破解https除了暴力破解（暴力破解https即使按照现在的集群计算能力仍旧需要几百至几万年不等）之外真的别无他法了吗？事实并非如此。 我们知道，https的安全性主要是由SSL证书中的公钥和私钥来保证的。浏览器与服务器经过https建立通讯的时候（不考虑SSL代理方式需要用户提交证书的情况，因为我们现在讨论的是浏览器访问网站，和SSL代理无关.. 阅读全文

摘要： 现在已经不常上博客来了，因为移动互联网的到来，资讯的获取大多数时候是在微博、微信、Pad 客户端上。无意中看到月光博文的这篇《电信级的RSA加密后的密码的破解方法》，个人的感觉是“匪夷所思”，一个堂堂的巨大公司居然会盗取用户的密码，这世界真是太不可思议了……算了，也不去论证这种事情存在的原因，以及它对如此巨量用户的伤害，作为一个普通的用户个体，在无法寄望于正常的保护后，我们还是来想办法怎么自己保护自己吧。 我们在网站上注册用户一般有两种原因，一种是临时性的，主要是为了下载或查看一些必须登录才有相应权限的资源资讯。在这种注册时，密码可以是很简单甚至固定的，同时用户名有一个特定的标识前缀或后缀，. 阅读全文

摘要： 一直以来，电信通过HTTP劫持推送广告的方式已经存在了很多年了，这种手段至今并未停止。这种手段月光博客曾经有多次曝光，见《电信级的网络弹出广告》、《获取了电信恶意弹出广告的罪证》和《谁控制了我们的浏览器？》。虽然HTTP本身的不安全性导致有路由器控制权限的人（比如电信运营商）可以获得没有使用HTTPS登录认证的网站的注册用户的密码，但一开始我并不认为电信运营商会犯触犯法律的风险进行实施。但现在我发现我错了。 现在有证据显示电信运营商非但获取没有加密的HTTP登录的用户名和密码，还会通过HTTP劫持的手段获取通过RSA加密的用户名和密码。信息来源是国内最大的最权威的漏洞报告平台之一wooyun. 阅读全文

摘要： 支付宝在其官方网站低调发布公告，从2013年12月03日开始在电脑上进行支付宝账户间转账，将收取手续费。公告称，在电脑上进行支付宝账户间转账费率降低为按每笔交易金额的0.10%收取，0.5元起收，10元封顶，原有的费率及免费转账额度将被取消。这就意味着，目前支付宝账户间可享受的每月20000元的免费转账额度，也将被取消。这也意味着，在电脑端登录支付宝进行转账操作，将无条件收取转账费用。 此外，支付宝在发布公告调整转账服务费率优惠政策时，还宣布“使用支付宝钱包进行支付宝账户间转账，推广期内一律免服务费”，也就是说推广期结束后，支付宝钱包进行账户间转账也会收取费用，前期的免费只是为推广期手机客户. 阅读全文

摘要： 互联网巨头围猎智能路由器的战斗正在打响。多位消息人士透露，小米、百度、360和盛大等互联网巨头都将陆续发布智能无线路由器产品，2014年或将成为“智能路由器元年”。 智能路由器，即智能化管理的路由器，相比于普通路由器，其像个人电脑一样，具有独立的操作系统，可以由用户自行安装各种应用，自行控制带宽、自行控制在线人数、自行控制浏览网页、自行控制在线时间、同时拥有强大的USB共享功能，真正做到网络和设备的智能化管理。 围猎智能路由器 昨日晚间，小米董事长雷军通过新浪微博透露11月20日将发布“新玩具”。内部人士透露，这个新玩具就是小米路由器。“小米路由器将紧紧围绕小米手机—MIUI—盒子产业链... 阅读全文

摘要： 英国国家打击犯罪调查局(NCA)发布国家紧急警报，警报一场大规模的垃圾邮件，这些邮件中包含了一款名为CryptoLocker的勒索程序，把目标瞄准了1千万英国的email用户，该程序会加密用户的文档，然后要求用户提供赎金才恢复用户的正常访问。调查局称，大部分接收到针对性垃圾邮件的用户来自银行或者其他金融机构。每封邮件包含了附件，这些附件看上去像是语音信箱，传真，发票或者可疑交易的详细信息，但实际上是加密用户计算机的Cryptolocker勒索软件。公众应注意不要点击任何此类附件。在受到感染的计算机中，Cryptolocker恶意软件的界面中会显示一个倒数计时器，要求支付2比特币（约536英镑） 阅读全文

摘要： 1,分析目标网站内容及功能(1) 首先确定网站采用何种语言编写.或者是否有混用的情况.此处可以通过查看网站源文件,观察网站链接,捕获提交请求等方式获取.(2) 爬行网站目录,使用工具对网站目录进行爬行,可以辅助上一步让结果更加精准.将爬行结果存档,如果可以,此处应分析出网站是否使用通用程序,如果是,记录下来.进行下一步.(3) 根据上一步的爬行结果,对网站根目录或者关键目录进行暴力目录探测,如果网站为通用程序,判读是否有过二次开发,如非通用程序,在探测到的目录中寻找关键目录及文件.此步骤详细测试方法:1.输入并访问一些不可能存在的文件或目录名,再输入并访问一些通过目录爬行已知存在的目录及文件名 阅读全文

摘要： avast是捷克研发的杀毒软件，从网站上找到一篇avast关于网站安全的文章，觉得颇有意思，因此想到翻译过来与大家共享。有不对之处还望大家批评指正。一个拥有上万访问者的小型网站管理员发来一份信，向我描述了他的遭遇，我只能说：“你非常不幸，但是问题很常见。”信件原文：“一天早上，我收到很多用户的邮件，说他们的杀毒软件报告称我的网站被感染并被隔离。我想这一定是个错误因为我们不是电子商务网站。信件中只有发件人的地址和信息。是不是有人通过这种方式想黑我的网站？”我想，在多数情况下，答案肯定是“你的网站很可能沦落为一个自动化网络的一部分，它将使你的网站用户遭受漏洞攻击。”为什么黑客喜欢攻击小型网站？小型 阅读全文

摘要： 微软在总部大楼内设立新网络犯罪中心（Cybercrime Center），旨在针对全球恶意软件、僵尸网络以及其他互联网犯罪行为进行实时追踪并予以打击。微软将“网络犯罪中心”设置在雷德蒙德总部大楼，目的是为了更好地结合与利用公司研究人员、安全专家以及法律顾问等资源。微软打击互联网犯罪已有数年之久，期间也曾为破获僵尸网犯罪作出重大贡献。微软成立网络犯罪中心一举，将公司在互联网安全方面的努力带到了新的高度。微软在追踪网络犯罪上使用的是自家技术，其中也包括PhotoDNA反儿童色情等已被Twitter和Facebook等互联网公司广泛采用的技术。微软网络犯罪中心将在公司总部大楼内隔出独立空间，为特定员 阅读全文