Google Hacking信息刺探的攻与防

本文来源:K0rz3n*本文作者：K0rz3n，本文属FreeBuf原创奖励计划，未经许可禁止转载我们都知道渗透测试中信息收集的重要性，是第一步也是最重要的一步。有的人渗透测试使出浑身解数破门而不入，可对有的人来说却如同囊中取物，也许功力就是差在信息收集，那么现在就让我带领各位读者重新认识一下Go...

• 
• 
• 

查看全文 freebuf 2018-04-27 0 google hacking

手工SQL注入寻找技巧

本文来源:DigApis根据bugbountyforum.com的AMA版面，最常见的问题之一就是：如何测试服务器端漏洞，例如SQL注入？直到最近我还在努力解决这个问题（特别是关于SQL注入）。我发现，SQL注入经常被发现并被sqlmap利用的，之后我发现这个服务器对单引号的反应很奇怪。然而在过去的...

黑客培训

查看全文 freebuf 2018-04-26 0 SQL注入

直播行业隐形炸弹：攻击性内容弹幕伤了谁？

本文来源:wangyiyunyidun直播行业在近几年得到了迅速的发展，而主播这个职业也成为了类似明星的新型职业。与录播相比，可以和粉丝、弹幕互动是直播最大的优点之一，然而不良内容弹幕也给主播带来了很多烦恼。再带给主播烦恼的同时，攻击性弹幕更是对主流价值观的一种破坏以及对直播平台拥有核心竞争力的一种...

网络安全培训

查看全文 freebuf 2018-04-26 0 内容安全直播内容风险防控

地雷战、密电码、白刃战——京东安全“海豹突击队”的日常

本文来源:史中浅黑科技大家好~我是史中，我的日常生活是开撩五湖四海的科技大牛，我会尝试各种姿势，把他们的无边脑洞和温情故事讲给你听。如果你特别想听到谁的故事，不妨加微信（微信号：shizhongst）告诉我，反正我也不一定撩得到。这次我撩到的是京东安全研究院的老大JimmySu，苏志刚。地雷战、...

• 
• 
• 

查看全文 freebuf 2018-04-26 0 黑客互联网安全京东安全

Redis妖风来袭时用什么保护袈裟

本文来源:糖果的实验室0x01概要我们在平时的安全运维中，Redis服务对我们来说是一种比较常见的服务，相应的Redis漏洞也比较棘手，网上有很多关于Reids漏洞利用和再现的方法，如果想延伸一下这个课题，我们可以考虑如何主动的防护redis的漏洞，那怕只是监听redis服务中，可能存在的威胁行为...

• 
• 
• 

查看全文 freebuf 2018-04-26 0 luaRedistcpdump

无文件攻击实例：基于注册表的Poweliks病毒分析

本文来源:深信服千里目安全实验室前言：病毒与杀软的博弈持续进行着，双方的攻防技术也是日新月异，随着杀软杀毒能力的不断提升，病毒对抗也在持续加强，无文件攻击作为一种比较新型的攻击手段，正逐步扩大其影响力。千里目安全实验室EDR安全团队发现，从2016年至今，所有重大的APT事件中，有77%的组织采用...

• 
• 
• 

查看全文 freebuf 2018-04-26 0 无文件攻击

物联网安全能力提升高级实践培训

本文来源:qinglianyun前言物联网技术不断发展成熟并逐步应用落地，如智能家居、智慧城市、共享单车、车联网、共享KTV等产品不断出现，让人们的生活更加便捷和高效。互联网巨头百度、阿里、腾讯、小米、京东等也纷纷亮相各自IoT战略，布局未来物联网发展。物联网设备爆发式增长，权威机构预测2020年全...

• 
• 
• 

查看全文 freebuf 2018-04-25 0 智能家居安全物联网安全信息安全培训云架构安全

APT团伙（APT-C-01）新利用漏洞样本分析及关联挖掘

本文来源:奇安信威胁情报中心背景APT-C-01组织是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙，其最早的攻击活动可以追溯到2007年，360威胁情报中心对该团伙的活动一直保持着持续的跟踪。团伙擅长对目标实施鱼叉攻击和水坑攻击，植入修改后的ZXShell、P...

• 
• 
• 

查看全文 freebuf 2018-04-25 0

DEF CON China 究竟值不值得一看？

本文来源:选择，是一件令人降低幸福感的事，尤其在没有任何信息参考时。譬如中午吃什么，下午吃什么之类的问题，对很多人来说都是送命题。近来有读者遇到另一道送命题，跑来问我：“世界顶级黑客大会DEFCON五月份要来中国北京，你说我去不去呢？我：去！读者：但是门票要688大洋，而且再过两天就要涨价到1...

• 
• 
• 

查看全文 freebuf 2018-04-25 0 黑客中国黑客DEF CON黑客大会

听说你内网渗透遇到困难？—MSF的NAT映射技巧

本文来源:i_春秋i春秋作家：TGhost专业的渗透测试者一般会使用直接链接到互联网的主机，这个主机一般具有公网IP，而且他们进行渗透测试时不受任何的防火墙和NAT设备的妨碍。如此自由的进行渗透测试，执行反弹shell，自然是最方便的。当然并不是每个人都有一台可以直接链接互联网的主机，随着免费公共I...

• 
• 
• 

查看全文 freebuf 2018-04-25 0 web安全