FreeBuF.COM

高质量的全球互联网安全媒体平台

14433人订阅
【预告】GeekPwn大赛七大看点曝光,现场盛况视频直播 在美剧《西部世界》中,人类建造了极具科幻又仿真的三大主题公园,用大量仿真机器人为人类游客提供各种服务。悲催的是,当游客们正陶醉在神奇的乐园中时,机器人却在不知不觉中逐渐有了记忆、感情等意识,甚至逐渐威胁并控制人类,一场由人工智能觉醒与人类智慧的“战役”由此开始。 现场盛况视频直播(视频直播10月24日早晨9:00开始):   机器人真的会肆无忌惮地“造反”吗?人类能躲过人工智能的威胁吗?到底谁会大胆站出来,保卫人类安全?   作为全球最大关注智能生活的国际安全极客大赛,以及首个探索人工智能与专业安全的前沿平台,自2014年创办伊始,就担任起信息安全守卫军的角色,和一群富有创新思维、热爱技术的安全极客保卫着人...
工具 | whatweb初级篇 0×00简介: Whatweb是一个基于Ruby语言的开源网站指纹识别软件,正如它的名字一样,whatweb能够识别各种关于网站的详细信息包括:CMS类型、博客平台、中间件、web框架模块、网站服务器、脚本类型、JavaScript库、IP、cookie等等。 0×01安装: Whatweb 是基于 ruby 语言开发,因此可以安装在具备 ruby 环境的系统中,目前支持 Windows/Mac OSX/Linux。 debian/ubuntu系统下: apt-get install whatweb //可自动解决依赖问题。   redhat/centos 系统下: yum update yum install ruby ruby-devel rubygems wget http://www.morningstarsecurity.com/downloads/whatweb-0.4.7.tar.gz tar xzvf whatweb-0.4.7.tar.gz cd whatweb-0.4.7 ./whatweb url...
微软如果重视数据库审计,4年前还会被入侵吗?   作为以研发、制造、授权和提供广泛的电脑软件服务业务为主的大型软件公司,微软对于内部数据库的安全防护似乎并没有非常严格。据路透社10月17日报道,微软5名前员工爆料,微软用于跟踪BUG的内部数据库曾在2013年遭到黑客组织的入侵。据悉,被入侵的“内部数据库”中包含了Windows等当今世界上使用最广泛操作系统、软件的未修复漏洞。   微软软件漏洞数据库遭入侵   “能够获得这些内部信息的坏家伙们相当于掌握了通往全世界数亿台电脑的‘万能钥匙’。”时任美国网络防御助理秘书埃里克-罗森巴赫(Eric Rosenbach)说道。几乎可以肯定,世界各国政府雇佣的间谍和其他黑客必然都对这一“软件漏洞数据库”非常感兴趣,并希望能够借此开发入侵...
Metasploit端口扫描技术 准备工作 Metasploit中的扫描器和大部分的其他辅助模块使用RHOSTS选项而不是RHOST,RHOSTS选项可以是IP地址段(192.168.1.20-192.168.1.30),CIDR地址段 (192.168.1.0/24),由逗号分隔的多个地址段(192.168.1.0/24, 192.168.3.0/24),以及行分隔的主机列表文件(file:/tmp/hostlist.txt)。 默认情况下,所有扫描器模块的THREADS值都将设置为“1”。 THREADS值设置扫描时要使用的并发线程数。 将此值设置为更高的数字,以加快扫描速度或降低扫描速度,以减少网络流量,但请务必遵守以下准则:   ● 将Win32系统上的THREADS值保持在16以下   ● 在Cygwin下运行MSF时,请将THREADS保持在200以下   ● 在类Unix操作系统上,THREADS可以设置高达256...
CTF中密码学一些基础【三】 本文作者:i春秋签约作家——MAX、 看看今天教程: 看着几个字符在键盘的位置,直接就是三个圈圈,圆心的三个字符就是答案 非常简单! 答案就是KEY 看题解密就好了!! 根据提示Asp encode解密OK  key:VbSciptEncodE 这里就很简单了F12查看. VBscript编码你们懂得。 通过js调试 提示urlencode(url解码) 先放着,继续找,发现 截取中间内容,并将eval修改为console.log,得到 于是得到完整的url 附件>>点击查看
悬镜安全丨企业应急响应浅析,遇到网络攻击怎么办? 2016-2017年,各国围绕互联网关键资源和网络空间国际规则的角逐将更加激烈,工业控制系统、智能技术应用、云计算等面临的网络安全风险进一步加大,黑客组织和网络恐怖组织等非国家行为发起的网络安全攻击持续增加,影响力和破坏力显著增强。 图片来源昵图网  2017年6月1日颁布的《网络安全法》第25条规定“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告”。 图片来源网络 企业的安全运维也面临着极其大的挑战,不仅有来自内部的泄露,还有更多是来自外部的攻击。 来自外部的攻击  ...
SecWiki周刊(第190期) 安全资讯 WPA2加密协议已被破解!你还敢用WiFi吗?  点击率 673  WPA2 协议漏洞让 Wi-Fi 流量能被攻击者监听  点击率 618  上市网络安全公司2017年三季度业绩预告  点击率 549  ATM机即将沦陷,地下黑市正在出售ATM恶意软件  点击率 530  十九大报告中有关网安和信息化事业的内容  点击率 525  UEBA能够检测的七大类安全风险  点击率 282  安全技术 信息安全领域有哪些非常棒的资源   点击率 990  信息安全实习和校招的面经、真题和资料   点击率 858  XSS测试备忘录   点击率 654  使用深度学习检测XSS(续)   点击率 622  两款防火墙的注入绕过姿势   点击率 573  B站日志系统的前世今生   点击率 547...
爬虫采集去重优化浅谈 以前在做漏洞Fuzz爬虫时,曾做过URL去重相关的工作,当时是参考了seay法师的文章以及网上零碎的一些资料,感觉做的很简单。近来又遇到相关问题,于是乎有了再次改进算法的念头。 首先,针对URL本身的去重,可以直接对整块URL进行处理。在参考网上的一些文章时,发现它们大多采用了 URL 压缩存储的方法。不过使用这些算法在数据量较大的时候,能大幅减小存储的空间: 基于磁盘的顺序存储。 基于Hash算法的存储。 基于MD5压缩映射的存储。 基于嵌入式Berkeley DB的存储。 基于布隆过滤器(Bloom Filter)的存储。 对于 URL 直接去重,主要涉及的是存储优化方面,对于本文不是重点,这里不再细说。 而对于 URL 逻辑上的去重,则需要更多地追求数据的...
宜人贷安全团队招聘 宜人贷—这是一家潜力无限的金融科技公司!宜人安全team—这是一个和乐融融的团队!你知道的、你不知道的都在这里~ 弹性工作制、六险一金、不定薪(最高24薪)、超长春节休假、带薪休假、免费加班餐、打车报销、生日趴、各种节日各种活动奖品礼品拿不完…… 高级安全工程师(2名) 薪资范围:20k-40k 岗位描述:  1、负责安全开发生命周期的建立,流程及工具的落地; 2、负责应用安全评估,代码review,安全测试和应急响应; 3、负责应用系统架构的安全设计,攻防技术的研究。  岗位要求:     1、WEB安全方向5年及以上工作经验; 2、掌握Web攻防技术及原理,关注和应用业界最新的安全技术发展,在某个领域有特长者优先考虑,如漏洞挖掘,渗...
Android8.0系统的华为mate 10,你有没有操心它是否安全了 10月21日,“2017华为年度旗舰新品发布盛典”在上海东方体育中心隆重举行。华为消费者业务CEO余承东先生&剑桥大学理论物理学博士Christophe Galfard分别登台演讲,介绍新一代HUAWEI Mate 10系列。 早前就有媒体曝光过Mate 10最新的EMUI6将基于安卓8.0打造。此次的发布会也证实了这一点。 2016年11月,华为宣布联合阿里巴巴、百度、腾讯、网易四家国内知名互联网企业共同成立安卓绿色联盟。作为一个开放的非盈利性组织,安卓绿色联盟旨在共同构建中国安卓绿色应用环境,打造安全,可靠,信赖,健康的应用生态,不断给用户带来极致的应用体验,联盟成立后迅速吸引众多企业加盟,队伍在不断壮大中。 今年3月22日,谷歌正式发布了Android O(Android 8...