最新发布

移植了一个WP经典的板子。优化更改了很多地方。感谢原作者!致敬开发一线的程序猿们!

分析CVE


前言
每周我们都能听到或看到许多关于安全漏洞的预警或报告,虽然看上去大多数的漏洞都千篇一律,但对于我们渗透测试人员而言,其中的一些思路方法和利用点却尤为吸引我们的...

web安全 |caiji阅读(24) 标签:

CSRF(跨站点请求伪造)在Flash中的利用

0×00 前言
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨...

web安全 |caiji阅读(32) 标签:

Altdns:通过更改和排列发现子域

Altdns是一款运用置换扫描技术的子域发现工具,它可以帮助我们查找与某些排列或替换匹配的子域。AltDNS接受可能存在于域下的子域中的单词(例如测试,开发,分期),以及获取你知道...

安全工具 |caiji阅读(22) 标签:

Flask jinja2模板注入思路总结

前言
虽然这个漏洞已经出现很久了,不过偶尔还是能够看到。翻了翻freebuf上好像只有python2的一些payload,方法也不是很全。我找来找去也走了些弯路,小白们可以参考一下。如果有...

漏洞 |caiji阅读(18) 标签:

Microsoft Office内存损坏漏洞(CVE

摘要

本文分析了CVE-2017-11882 poc样本的文件结构,在分析poc样本时介绍了rtf文件、Equation Native数据结构、MTEF流数据结构、FONT记录数据结构的基本知识。在分析完poc样...

漏洞 |caiji阅读(17) 标签:

NrsMiner:一个构造精密的挖矿僵尸网络

0×1前言

近日,360互联网安全中心发现一个利用“永恒之蓝”漏洞攻击武器传播的挖矿僵尸网络,该僵尸网络通过占用僵尸机的CPU和GPU算力挖取门罗币获利。该僵尸网络的重要组成...

系统安全 |caiji阅读(15) 标签:

安全开发之扫描器迭代记:W9Scan

*本文原创作者:w8ay,本文属FreeBuf原创奖励计划,未经许可禁止转载

w9scan是一款全能型的网站漏洞扫描器,借鉴了各位前辈的优秀代码。内置1200+插件可对网站进行一次规模的检测,...

安全工具 |caiji阅读(26) 标签:

WireShark+Winhex:流量分析的好搭档

*本文原创作者:康康你秋裤穿反啦,属于FreeBuf原创奖励计划,禁止转载

这篇文章你将学会的知识点有
1.   进阶的wireshark的流量分析、解码、追踪流、导出文件
2.   利用h...

安全工具 |caiji阅读(29) 标签:

AI安全风险白皮书

摘要
深度学习引领着新一轮的人工智能浪潮,受到工业界以及全社会的广泛关注。 虽然大家对人工智能有很多美好的憧憬,但是现实是残酷的 — 随着一批深度学习应用逐渐开始变成现...

网络安全 |caiji阅读(18) 标签:

自动化合规测试工具InSpec 2.0促进DevSecOps发展

在当前的网络空间形势下,软件开发者需要在开发阶段就考虑到安全问题,因此应用程序上线前针对各种法律法规的合规测试也极为重要。合规测试实施起来困难且耗时,测试结果也常常受...

安全工具 |caiji阅读(27) 标签:

GDB调试CVE

*本文原创作者:xiaoyinglicai,属于Freebuf原创奖励计划,禁止转载

下载、编译PHP源码

从github的PHP-src克隆下含有漏洞的版本,最好采取7.0以上版本,编译时候会比较简单,本次选用...

系统安全 |caiji阅读(19) 标签:

手把手教你如何用SMIME加密任意邮件

在此之前,我曾写过一篇关于邮件服务提供商安全问题的文章【传送门】,你可以根据我的建议来选择一个比较合适的邮件提供商。但是,如果你已经有自己的邮箱并且使用了很多年的话...

web安全 |caiji阅读(38) 标签: