摘要:
视频:https://vimeo.com/197902404 可以看到就是一个利用dropbox的C2,不过他是通过dropbox的文件API在做C2控制的,如何做到的呢?其实很简单,C2的agent轮询服务器上是否有文件更新,有的话就下载下来,其实这里面就是C2交互的内容,而C2上传的信息又通过文 阅读全文
摘要:
【安全研究】Domain fronting域名前置网络攻击技术 from: https://cloud.tencent.com/developer/article/1555449 千里百科 Domain Fronting基于HTTPS通用规避技术,也被称为域前端网络攻击技术。这是一种用来隐藏Meta 阅读全文
摘要:
水坑攻击之Jsonp hijacking-信息劫持 2018年1月26日 admin%1 $ S 0X01 Jsonp hijacking作用 这是一种基于水坑攻击的攻击方式,用于大规模的获取用户信息,因为可以绕过同源策略的限制而展开,所以其威力巨大,尤其是在一些大型网站的接口处,用此方法可以盗取已 阅读全文
摘要:
逻辑漏洞破解手机验证码重置用户密码 from:https://www.xf1433.com/4275.html 找回用户密码几乎是每个网站都有的功能,漏洞点也非常多,功能开发起来容易,要做好安全的防御机制需要投入更多精力,比如小风教程网为了保护用户的绝对安全,就干脆把找回密码的功能去掉了,用户想找回 阅读全文
摘要:
Tcpreplay是一种pcap包的重放工具, 它可以将tcpdump和Ethereal/Wireshark等工具捕捉到的网络流量包进行编辑修改和重放. 重写Layer 2、3、4层数据包,并将流量重新发送至目标网络, 这样通过重放网络流量包从而实现复现问题情景以定位bug tcpreplay本身包 阅读全文