资料列表
Preview Name 作者 Date File info Actions
  • CTF中Web狗的生存之道
  • 在打CTF的时候是不是总感觉欠缺了点什么,又或者是感觉少了点技巧?通过几个简单的案例让我们一同来找到CTF的小窍门吧。

    • SQL注入
    • 代码审计
    • 文件上传
    • PHP弱类型
腹黑(白帽100安全攻防实验室负责人,DC0571发起人,W&P战队队长) 2017-09-04 10:46:14
  • 附件: 1 个
  • 大小: 0.46 M
  • 云安全时代下的新一轮斗智斗勇
  • web黑客们是目前中国最大的安全研究者群体,云安全时代的到来必将改变这一领域的格局,crown prince的议题中,将会分享编程算法在渗透测试中的应用与突破、C++等语言的逆袭优势、比对复杂语言的爬虫分析能力,为大家提供他对未来与云安全切磋的设想

    • 计算模式的演变
    • 云安全给予黑客的挑战
    • 知识需要:云的弹性服务特点
    • 案例:社区云下的任意文件下载漏洞利用
    • 探讨:基于并查集的自动化私有云渗透
繁星科技CSO 王骕 2017-09-04 10:44:03
  • 附件: 1 个
  • 大小: 2.5 M
  • 安全客2017季刊-第2期
  • 目录

    • 【卷首语】
    • 【安全热点事件】
      • NSA Eternalblue SMB 漏洞分析
      • Eternalromance (永恒浪漫) 漏洞分析
      • 深入分析 NSA 用了 5 年的 IIS 漏洞
      • CVE-2017-9073 EsteemAudit 分析
      • Samba 远程代码执行漏洞(CVE-2017-7494)分析
      • WanaCrypt0r 勒索蠕虫完全分析报告
      • Petya 勒索蠕虫完全分析报告
    • 【Web 安全】
      • Web Service 渗透测试从入门到精通
      • fastjson 远程反序列化 poc 的构造和分析
      • PHPCMS MT_RAND SEED CRACK 致 authkey 泄露
      • Phpcms V9.6.0 任意文件写入 getshell
      • WordPress 4.6 远程代码执行漏洞分析
      • 详细解析 PHP mail()函数漏洞利用技巧
    • 【安全运营】
      • OWASP Top 10 2017 rc1 中文翻译
      • 图形验证码在携程的实践之路
      • 30 元返现羊毛党日赚 3 万:靠手机号码进行业务反欺诈靠谱吗?
      • SDL 中的密码学应用
      • X 公司某重要系统 GETSHELL
      • 黑客游走于企业 windows 内网的几种姿势
      • 黑客入侵应急分析手工排查
      • 基于 Graylog 日志安全审计实践
      • Web 日志安全分析浅谈
    • 【攻防前沿】
      • iOS 安全之针对 mach_portal 的分析
      • BlackHat 专题:深入理解 EdgeHTML 渲染引擎的攻击面及其防护
      • 启明星辰 ADLab 针对工业控制系统的新型攻击武器 Industroyer 深度剖析
      • 蝴蝶效应与程序错误---一个渣洞的利用
      • 自动化挖掘 windows 内核信息泄漏漏洞
    • 【Pwn2Own 专题】
      • Pwn2Own 2017 利用 macOS 内核漏洞逃逸 Safari 沙盒
      • Pwn2Own 2017 VMWARE UAF 漏洞分析
      • Pwn2Own 2017 Linux 内核提权漏洞分析
      • Pwn2Own 2017 再现上帝之手
      • Pwn2Own 2017 利用一个堆溢出漏洞实现 VMware 虚拟机逃逸
安全客 2017-09-02 04:40:27
  • 附件: 1 个
  • 大小: 28.65 M
  • 从S-SDLC视角看API安全
  • 为何将API安全拧出来说 API历史沿革及风险评估 API面临的安全挑战 IoT攻击面分析 S-SDLC & API安全 API安全检测技术

Silver Zhang SecZone CTO 2017-08-28 11:30:30
  • 附件: 1 个
  • 大小: 1.28 M
贾玉彬 Rapid7中国区总经理 2017-08-28 11:28:32
  • 附件: 1 个
  • 大小: 1.98 M
  • Web API 安全漏洞与检测
  • 目录

    • 1 、Web API 安全威胁
    • 2 、Web API 安全漏洞
    • 3 、WAF Web API 漏洞防护
    • 4 、Web API 安全开发建议
徐诣博 启明星辰Web安全研究员 2017-08-28 11:26:40
  • 附件: 1 个
  • 大小: 1.68 M
  • 应用安全威胁及解决方案 基于OWASP top 10 2013
    • 应用程序安全风险
    • A1 – 注入
    • A2 –失效的身份认证和会话管理
    • A3 –跨站脚本(XSS)
    • A4 - 不安全的直接对象引用
    • A5-安全配置错误
    • A6-敏感信息泄漏
    • A7 - 功能级访问控制缺失
    • A8 – 跨站请求伪造CSRF
    • A9 - 使用已知含有漏洞的组件
    • A10-未验证的重定向和转发
夏天泽 OWASP中国安徽区域负责人 2017-08-28 11:23:54
  • 附件: 1 个
  • 大小: 4.93 M
  • Web渗透测试之逻辑漏洞挖掘
    • 1.思考
      • 1.1、利用工具简单
      • 1.2、思路复杂
        • 1.2.1、用户身份:认证
        • 1.2.2、业务流程:对业务的熟悉程度(各种类型的网站、业务模式)
    • 2、逻辑漏洞类型
      • 2.1、支付漏洞
        • 2.1.1、支付漏洞突破口
      • 2.2、密码重置漏洞
        • 2.2.1、密码重置突破口
      • 2.3、任意用户登录
      • 2.4、认证缺陷漏洞
      • 2.5、越权漏洞
      • 2.6、接口枚举
    • 3、案例分享
    • 3.1.1、支付漏洞
    • 3.1.2支付漏洞
    • 3.1.3支付漏洞
    • 3.2.1密码重置漏洞
    • 3.2.2密码重置漏洞
    • 3.2.3密码重置漏洞
    • 3.2.4密码重置漏洞
    • 3.2.5密码重置漏洞
    • 3.3.1任意用户登录漏洞
    • 3.3.2任意用户登录漏洞
hackbar 上海银基信息安全技术股份有限公司 2017-07-26 15:36:22
  • 附件: 1 个
  • 大小: 8.41 M
  • 云端协同,推动Web安全建设进阶
    • 数据分析:2016年网站漏洞数据分析
    • 数据分析:2016年网站DDoS攻击数据分析
    • 数据分析:2016年挂马事件
    • Web安全——2017
    • 360公司的技术实力:漏洞挖掘能力
    • 360公司的技术实力:大数据应用能力
    • 360公司的社会责任:同时提供面向个人和企业的安全产品
    • 网站安全解决方案:了解现状,监测风险
    • 网站安全解决方案:云+端纵深防御体系
    • 尝试应用防御新手段:RASP
    • 面向企业的Web安全整体框架
    • Web安全进阶
张盼 2017-07-24 03:08:08
  • 附件: 1 个
  • 大小: 2.97 M
  • 《安天365安全研究》第二期
  • 目录

    • 第 1 部分拟研究技术专题
      • 1.1《黑客攻防实战——web 漏洞挖掘与利用》图书
      • 1.2 安天实战课题研究 2017 年第二期内网渗透技术题目
      • 1.3 关于安天 365 线下和线下交流
      • 1.4 已出版图书
    • 第 2 部分技术研究文章
      • 2.1 最新勒索软件 WannaCrypt 病毒感染前清除处理及加固
        • 2.1.1 最重要的事情
        • 2.1.2 病毒原始文件分析
        • 2.1.3 杀毒方法
        • 2.1.4 安全加固
        • 2.1.5 安全提示
      • 2.2Joomla!3.7.0 Core com_fields 组件 SQL 注入漏洞
        • 2.2.1 漏洞简介
        • 2.2.2 漏洞流程图
        • 2.2.3 漏洞分析
        • 2.2.4 补丁分析
        • 2.2.5 总结
        • 2.2.6 参考
      • 2.3 从 mysql 注入到 getshell
        • 2.3.1 系统基本信息获取
        • 2.3.2 获取操作系统类型
        • 2.3.3 获取注入点
        • 2.3.4sqlmap 进行验证
        • 2.3.5os-shell 系统命令执行
        • 2.3.6 获取相关信息
        • 2.3.7 寻找可写目录
        • 2.3.8 写一句话木马
        • 2.3.9 菜刀连接
        • 2.3.10 相关命令不能使用解决
        • 2.3.11 题外话
        • 2.3.12 参考
      • 2.4kali 渗透 windowsXP 过程
        • 2.4.1 扫描端口
        • 2.4.2 生成反弹 shellcode
        • 2.4.3 修改 DNS
        • 2.4.4 实施欺骗攻击
      • 2.5 某系统由于 struct2 漏洞导致被完全攻陷
        • 2.5.1 漏洞产生的原因
        • 2.5.2 漏洞发现
        • 2.5.3 漏洞利用
        • 2.5.4 修复建议
      • 2.6MSSQL sa 弱口令提权基础知识学习
        • 2.6.1“扩展存储过程”中的 xp_cmdshell
        • 2.6.2 利用 xp_cmdshell 存储过程添加账号
        • 2.6.3OLE 相关存储过程添加账户
        • 2.6.3xp_regread & xp_regwrite 克隆账号
        • 2.6.4MSSQL 存储过程利用小结
        • 2.6.5 安全防护
      • 2.7SQL Server 2008 另类提权思路
        • 2.7.1 生成反弹可执行文件
        • 2.7.2 上传文件
        • 2.7.3 运行反弹程序成功获取系统权限
        • 2.7.4 获取服务器权限
      • 2.8 信息收集之 SVN 源代码社工获取及渗透实战
        • 2.8.1 公开源代码获取
        • 2.8.2 社工查询获取密码
        • 2.8.3 登录阿里云代码中心
        • 2.8.4 获取其它开发用户的信息
        • 2.8.5 下载获取源代码
        • 2.8.6 后续渗透
        • 2.8.7 总结
      • 2.9 对某加密一句话 shell 的解密
        • 2.9.1 源代码
        • 2.9.2 源代码中用到的函数
        • 2.9.3 获取 shell 密码
        • 2.9.4 解密的另外一个思路
        • 2.9.5 参考资料
      • 2.10 渗透某网络诈骗网站总结
        • 2.10.1 获取后台登陆地址
        • 2.10.2 进入后台
        • 2.10.3 分析网站源代码
        • 2.10.4 对样式表进行修改
        • 2.10.5 使用上传漏洞进行上传
        • 2.10.6 获取上传文件具体地址
        • 2.10.7 获取 Webshell 权限
        • 2.10.8 信息扩展
        • 2.10.9 渗透总结
      • 2.11Asp.net 反编译及解密分析
        • 2.11.1 使用 Reflector.v9.0.1.374 反编译
        • 2.11.2 获取初始加密密码和密钥
      • 2.12Intel AMT 固件密码绕过登录漏洞分析与实战
        • 2.12.1 漏洞简介
        • 2.12.2 攻击场景
        • 2.12.3 漏洞利用原理
        • 2.12.4 漏洞利用还原
        • 2.12.5 kali 平台下 msf 利用
        • 2.12.6 安全防范
        • 2.12.7 参考文章
      • 2.13 如何用 windows 0day 让外网机反弹到内网 kali
        • 2.13.1 实验环境
        • 2.13.2msfconsole 运行监听并配置 payload
        • 2.13.3socat 监听
        • 2.13.4 用 windows 0day 进行攻击
        • 2.13.5msf 成功接收到反弹
      • 2.14Linux(CentOS)安全加固之非业务端口服务关闭
        • 2.14.1 查找端口对应的服务进程
        • 2.14.2 查找进程对应的服务
        • 2.14.3 停用进程服务
        • 2.14.4 学习小结
antian365 2017-05-27 04:37:42
  • 附件: 1 个
  • 大小: 6.96 M