Aggregator

一年一度的RCTF开始了，又能学一波骚操作，RCTF的web题目去年就非常好，今年也特别出色。由于研究所月赛的原因没有参与其中，所以赛后来复现一下。

前言 近两年公司端侧发现的漏洞很大一部分都出在WebView白名单上，针对这类漏洞安全编码团队也组织过多次培训，但是这种漏洞还是屡见不鲜。下面本人就结合产品中容易出现问题的地方，用实例的方式来总结一下如何正确使用WebView白名单，给开发的兄弟们作为参考。 在Android SDK中封装了一个可以

概述 本系列文章重写了java、.net、php三个版本的一句话木马，可以解析并执行客户端传递过来的加密二进制流，并实现了相应的客户端工具。从而一劳永逸的绕过WAF或者其他网络防火墙的检测。 本来是想把这三个版本写在一篇文章里，过程中发现篇幅太大，所以分成了四篇，分别是： 利用动态二进制加密实现新型

概述 本系列文章重写了java、.net、php三个版本的一句话木马，可以解析并执行客户端传递过来的加密二进制流，并实现了相应的客户端工具。从而一劳永逸的绕过WAF或者其他网络防火墙的检测。 本来是想把这三个版本写在一篇文章里，过程中发现篇幅太大，所以分成了四篇，分别是： 利用动态二进制加密实现新型

概述 本系列文章重写了java、.net、php三个版本的一句话木马，可以解析并执行客户端传递过来的加密二进制流，并实现了相应的客户端工具。从而一劳永逸的绕过WAF或者其他网络防火墙的检测。当然，截止到今天，这三个版本一句话木马也是可以绕过基于主机的各种文件特征检测防护系统的，比如安全狗、D盾以及各

概述 本系列文章重写了java、.net、php三个版本的一句话木马，可以解析并执行客户端传递过来的加密二进制流，并实现了相应的客户端工具。从而一劳永逸的绕过WAF或者其他网络防火墙的检测。 本来是想把这三个版本写在一篇文章里，过程中发现篇幅太大，所以分成了四篇，分别是： 利用动态二进制加密实现新型

F5 Labs' Preston Hogue writes for Security Week, discussing how the shift to DevSecOps brings a massive shift in the application landscape with real cultural impact on security teams.

本期，公开本人耗尽心力才破译的一个密码含义...

The idea for Lyrebird came from observing that sometimes when someone forgets lock their workstation, someone else might mess with their computer. Since I wanted to learn more on how to program a webcam and take pictures - I figured why not create a little tool that takes a screenshot and uses the webcam to take pictures of anyone that interacts with the computer while I’m gone. The way this work is simple, start Lyrebird.

There are gaps in security programs between what we think is going on, and what’s really going on. In this final part in our trilogy, we examine the possible causes for this—and solutions to close these gaps.

本文介绍了如何检测目标主机是否含有CVE-2019-0708漏洞

Additional research by Or Katz When it comes to targeting Apple users and their personal and financial data, 16Shop has emerged as a go to kit for those who can afford it. While 16Shop is sold to criminals looking to...

Data center breaches can seem impossible to avoid, but good data center security can seriously reduce your risk. We look at famous breaches Equifax, Yahoo, & more.

Web injection represents an even greater risk than it did previously, thanks to the growth of third-party content and increasingly complex attack surfaces.

### Github RouterSploit Git地址：https://github.com/threat9/routersploit ### 介绍 RouterSploit是一个开源的嵌...

目前，针对国家重大事件、活动的网络安全保障屡见不鲜，同时也是保障各应用、系统、网络、企业、行业在特殊时期安全、…

Researchers at Akamai observed attackers using a novel approach for evading detection. This new technique - which we call Cipher Stunting - has become a growing threat, with its roots tracing back to early-2018. By using advanced methods, attackers are...

Containers vs virtual machines is an ongoing debate in many IT shops around the world. Learn what makes each unique, their common use cases, and how to keep both secure.

信息收集 用dirsearch扫了一波目录没有发现什么东西 直接用主站域名解析的ip访问发现主站是挂有cdn的 subDomainsBrute 扫描子域名 其中一个子域没挂CDN，由此找到网站的真实ip 得到真实ip后nmap扫描发现8099端口有个未知应用 访问发现是个WEB服务，一个登陆界面 漏