【物联网安全】走进MIPS的奇妙世界
随着物联网(IOT)日益增长,面向IOT硬件的新一波恶意软件如期而至,不过对于安全人员来说,这些恶意软件所面向的系统架构貌似有点生疏:MIPS架构。为了帮助读者熟悉这一架构,本文将详细介绍如何编译、分析和调试基于MIPS的二进制文件。
Linux内核网络设备——bridge设备
和前面的文章一样,这次我们来一起讨论下bridge设备的数据走向。以下的实验简单,可以帮助linux技术初学者入门、理解。
【SQL注入】详解基于MSSQL “order by”语句报错的SQL注入技术
SQL注入,又名黑客技术之母,是一种臭名昭著的安全漏洞,由于流毒甚广,已经给网络世界造成了巨大的破坏。当然,对于该漏洞的利用技术,也是花样繁多,如访问存储在数据库中的数据,使用MySQL的load和into outfile语句读/写服务器代码,以及使用SA帐户在MSSQL中执行命令,等等。
在本文中,我们要利用的SQL注入漏洞出现在下面的情形中:当用户提供的数据通过MSSQL的“Order By”语句中的值进行传递时,如果SQL查询中存在语法错误,那么应用程序就会抛出SQL Server错误。
【渗透测试】渗透测试最强秘籍(Part 2:配置和部署)
前几天,我们分享了《渗透测试最强秘籍Part1:信息收集》。今天继续该系列的第二篇文章——配置和部署。
分享纲要:
1. 测试网络/架构配置
2. 测试应用程序平台配置
3. 测试文件扩展处理敏感信息
4. 审计旧的、备份的和未引用的文件以发现敏感信息
5. 枚举基础结构和应用程序管理接口
6. 测试 HTTP 方法
7. 测试 HTTP Strict Transport Security
8. 测试 RIA 跨域策略
Linux 内核网络设备——vEth 设备和 network namespace 初步
之前学习研究了下 linux 内核中的网络设备,工作之余总结了几篇关于网络设备的使用和内核中网络数据包的走向。今天来一起讨论下 vEth设备以及 vEth 设备和 linux network namespace 在 docker、虚拟化中的基本应用。本文主要讲的是 vEth 设备的基本走向,以及跨 network namespace 的使用。vEth 与 bridge(网桥)、network namespace 的使用将在今后的文章中继续讨论。文中有理解有误的地方,还望各位读者积极指出。
Linux内核网络设备——tun、tap设备
这篇文章中,主要给大家分享下在linux的tcp/ip协议栈中tap/tun设备所处的地位以及这种技术的使用和实验讲解。本文只讨论以太网的物理网卡,并且以linux 3.x内核的一个UDP包的发送过程作为示例,由于本人对协议栈的代码不熟,借鉴了网络资源学习相关流程和知识,有些地方可能理解有误,欢迎指正。
【渗透测试】渗透测试最强秘籍(Part 1:信息收集)
在对一个站进行渗透测试的过程中,信息收集是非常重要的。信息收集的详细与否可能决定着此次渗透测试的成功与否。本文详细介绍信息收集的八大方法,快来Get吧
如何利用GitHub进行信息窃取?(part 2:加密货币矿工和信用卡信息窃取)
几天前, 我们报告了 被攻击的Magento 网站利用伪装的 Flash 更新来植入信息窃取恶意软件。
在本篇文章中, 我们将揭示一种攻击,其和最近非常热门的话题相关——加密货币和挖矿。
如何利用GitHub进行信息窃取?(Part1:信息窃取)
几个月前, 我们报道了犯罪分子如何使用 GitHub 在被攻击的网站上加载各种加密货币矿工。我们现在发现,同样的方法也可以被用来将二进制 “信息窃取” 恶意软件推送到 Windows 计算机上。
QuadRooter攻击概述:漏洞,方法和缓解措施
QuadRooter攻击对Android设备造成了一些安全问题,有CVE-2016-2059,CVE-2016-5340,CVE-2016-2503,CVE-2106-2504。本文将介绍QuadRooter的攻击原理和缓解建议,供读者参考。