利用脚本注入漏洞攻击ReactJS应用程序

利用脚本注入漏洞攻击ReactJS应用程序

黑客攻击 4周前 (08-25) 浏览: 18

ReactJS是一款能够帮助开发者构建用户接口的热门JavaScript库。在它的帮助下,开发者可以构建出内容丰富的客户端或Web应用,并且提前加载内容以提供更好的用户体验。 从设计角度来看,只要你能够按照开发标准来使用ReactJS的话,它其实是非常安全的。但是在网络安全领域中,没有任何东西是绝对安全的,而错误的编程实践方式将导致类似脚本注入漏洞之类的问题产生,这些错误的编程方式包括: 1.利用

PowerSAP:一款强大的PowerShell SAP安全审计工具

PowerSAP:一款强大的PowerShell SAP安全审计工具

黑客攻击 4周前 (08-25) 浏览: 27

今天给大家介绍的是一款名叫PowerSAP的工具,该工具在今年正是添加到了BlackHat武器库中。这款工具并没有重复造轮子,并且代码现已全部开源。 PowerSAP PowerSAP是一款开源的PowerShell工具,它可以帮助我们对安装了SAP产品的系统进行漏洞安全审计。根据该工具作者@_Sn0rkY的描述,他利用了很多目前非常流行的技术和工具对PowerShell进行了一次简单的重构,其中

Nmap在pentest box中的扫描及应用

Nmap在pentest box中的扫描及应用

黑客攻击 1个月前 (08-22) 浏览: 16

最近一直在思考,Web渗透中,正面的渗透是一种思路,横向和纵向渗透也是一种思路,在渗透过程中,目标主站的防护越来越严格,而子站或者目标所在IP地址的C段或者B端的渗透相对容易,这种渗透涉及目标信息的搜集和设定,而对这些目标信息收集最主要方式是子域名暴力破解和端口扫描。子域名暴力破解,会在下一篇文章中专门介绍,本文主要介绍端口扫描以及应用的思路。   一.端口扫描准备工作 1.下载pent

研究人员演示:用USB设备能够秘密窃取临近USB接口的数据

研究人员演示:用USB设备能够秘密窃取临近USB接口的数据

黑客攻击 1个月前 (08-21) 浏览: 19 评论: 0

只需要用一个稍作伪装过的USB设备,插到电脑的USB口中,它就能监听临近USB接口泄露出出来的电信号,如果临近USB口接了键盘的话,那么通过对其进行分析就能获取到用户的键击记录。 近日, 来自澳大利亚阿德莱德大学的研究人员演示了通过USB小工具来监控旁边插入的USB设备的数据流动。 这个间谍小工具可以拦截相邻端口的电信号,来把敏感信息泄露给攻击者。这在技术上定义为“通道间串扰泄露”。 串扰: 串扰

远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流

远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流

黑客攻击 1个月前 (08-21) 浏览: 29 评论: 0

如今,不少人为了省钱,会尝试各种免费的方法获取网盘或视频播放器的会员权限,网上也流传着不少“网盘不限速神器”或者“播放器VIP破解工具”。不过,这些“神器”既不靠谱更不安全,因为它们已经被木马盯上了。 近日,360安全中心监测到一批伪装成“迅雷9.1尊贵破解版”、“百度网盘不限速”工具的远控木马正大肆传播。为了掩人耳目,木马不仅会添加桌面的快捷方式图标、软件安装的注册表信息,还足足利用了三层白利用

FBI使用网络调查技术(NIT)成功识别Tor网络中的性勒索者

FBI使用网络调查技术(NIT)成功识别Tor网络中的性勒索者

黑客攻击 1个月前 (08-17) 浏览: 21 评论: 0

网络调查技术(NIT)再发功 早在2015年3月,美国联邦调查局(FBI)就通过在一个称为“Preteen Videos—Girls Hardcore”的暗网中建立“钓鱼网站”的方式,查获了数百名涉嫌在网络传播儿童色情信息的嫌疑人。FBI表示,他们采用了网络调查技术(NIT)来确定Tor网络上匿名用户的地址,并抓获了137名嫌疑人。 而最近,联邦调查局再次使用网络调查技术(NIT)来识别Tor用户

如何把Photoshop改造成远程控制工具(RAT)来利用

如何把Photoshop改造成远程控制工具(RAT)来利用

黑客攻击 1个月前 (08-09) 浏览: 18 评论: 0

作者在本文中通过对Photoshop远程连接功能的改造利用,最终实现了对开启远程连接功能的Photoshop端操作系统的接管控制。 Photoshop远程连接功能说明 Photoshop中有一个名为远程连接(Remote Connections)的可选功能,该功能默认是关闭的,但如果你启用该功能并设置密码后,任何知晓密码的人就可以远程接入到你电脑的Photoshop服务端。如下开启画面: 正常用户

笑看黑客如何打脸智能枪支

笑看黑客如何打脸智能枪支

黑客攻击 2个月前 (08-07) 浏览: 33 评论: 0

我认为我们应该对智能机器的狂热追捧停一停了,除非它足够安全当得起“智能”二字。从智能烤箱,安全摄像头到智能汽车 —— 万物皆可破! 有想过当这些智能技术,仅仅只需要通过一些常见且廉价的材料就能使其失效是怎样一个场景吗?我写的这些并非危言耸听,今天我们要讲的便是这样一个例子。 安全研究人员利用在亚马逊网店上购买的廉价磁体材料,解锁了仅枪支所有者才能开火的“智能”手枪。研发Armatix IP1“智能

反入侵之发现后门利用mount-bind将进程和端口信息隐匿

反入侵之发现后门利用mount-bind将进程和端口信息隐匿

黑客攻击 2个月前 (07-21) 浏览: 31 评论: 0

0×00. 前言 作为一名安全工程师,日常工作中会经常遇到网站遭遇入侵,甚至被植入后门,如何去发现后门,进而对入侵进行调查取证都是一名优秀的安全工程师必备功课,本文结合实际案例介绍一下一款后门的植入技巧,以及我是如何发现它的,仅此给大家一个参考,希望给大家日后工作带来帮助。 0×01. 正文 今天在蜜罐环境中发现有一个奇怪的端口 一看就不合常理,没有进程名和进程ID 使用 lsof -i:3133

字符编码发展史和密码算法那些事儿

字符编码发展史和密码算法那些事儿

黑客攻击 2个月前 (07-21) 浏览: 26 评论: 0

从《易经》开始: 宇宙万物,道法阴阳,阴阳未分为混沌,混沌即无极,演而有序,化为太极。 易有太极,是生两仪,两仪生四象,四象演八卦,八卦演万物。 阴阳术创造了一个世界,炊烟袅袅,鸟语花香。 二进制创造了另一个世界,有一个小男孩,已经醒来。 0×01 编码的故事 ASCII 一个神秘组织为了融入人类的语言符号,将二进制的单元八位一组,建立了一套符号对应关系表(例如 A => 01000001)

爆破非默认Base64编码表

爆破非默认Base64编码表

黑客攻击 2个月前 (07-21) 浏览: 16 评论: 0

前言 Base64 算法可能是大家接触最多的算法吧,Base64 指定了一个编码表,方便统一转换,大家在逆向中是否遇到似是而非的base64 编码啊?比如  ”aHVsbH8=”  这种貌似是 base64,但解码后是 “hull” 。但是我告诉你解码错误,正确答案是 “hello”。因为我给 base64Table 替换了。遇到这种情况,就要寻找编码表,此时如果 Base64 被代码虚拟化了,怎

局域网聊天软件攻防战

局域网聊天软件攻防战

黑客攻击 5个月前 (05-04) 浏览: 101 评论: 0

0×00 前言 笔者发现不少甲方公司的办公网络依靠五花八门的局域网聊天软件进行办公通信,而这些软件中同样存在各种安全风险。本文就带大家利用协议分析技术来还原一款局域网聊天软件的通信协议,并对其进行简易攻击。 0×01 协议分析 网络协议是指计算机网络中通信双方必须共同遵守的一组约定,这些约定包括数据传输格式和顺序等内容,它最终体现为在网络上传输的数据包的格式,只有双方遵守相关约定才能确保正常通信交

XSS利用之延长Session生命周期

XSS利用之延长Session生命周期

黑客攻击 5个月前 (04-26) 浏览: 37 评论: 0

1.0 在进入话题之前我们先了解下session与cookie的原理 1.1 session介绍 简单介绍:PHP session 变量用于存储有关用户会话的信息,或更改用户会话的设置。Session 变量保存的信息是单一用户的,并且可供应用程序中的所有页面使用。 1.2 几个常用的session配置 php.ini session.use_cookies=1  #1代表使用cookie记录客户端

浅谈拒绝服务攻击的原理与防御(6):拒绝服务攻击的防御

浅谈拒绝服务攻击的原理与防御(6):拒绝服务攻击的防御

黑客攻击 6个月前 (04-05) 浏览: 69 评论: 0

0×01前言 系列回顾 DDOS攻击是每个需要对外提供服务的公司最大的威胁之一,尤其是新兴的互联网公司与电信运行商对此尤其看重,每个公司的网络安全组都必须具备一定的防御DDOS攻击的能力,不仅仅是会使用各个品牌的安全设备,更重要的是要有防御DDOS攻击的明确思路以及正确的方法,这样才能保证自己的公司不被黑客破坏、勒索。 任何需要通过网络提供服务的业务系统,不论是处于经济原因还是其他方面,都应该对D

浅谈拒绝服务攻击的原理与防御(5):NTP反射攻击复现

浅谈拒绝服务攻击的原理与防御(5):NTP反射攻击复现

黑客攻击 6个月前 (04-05) 浏览: 82 评论: 0

0×01 故事起因 系列回顾 前两天以为freebuf上的网友stream(年龄、性别不详)私信我说他在阿里云上的服务器被NTP攻击了,流量超过10G,希望我帮忙一起分析一下,复现一下攻击。我这当代雷锋当然非常乐意了,于是我就和stream联系(勾搭)上了,今天我就详细讲一下我们一起复现NTP反射攻击的过程。 0×02 分析攻击数据 stream大兄弟把当时抓到的包发给了我,数据包不大只有31.4

登录

忘记密码 ?

切换登录

注册

扫一扫二维码分享