挖洞经验 | 价值3133.7美金的谷歌(Google)存储型XSS漏洞

漏洞挖掘领域,不谈赏金和其它功利的东西,如果能发现谷歌公司的漏洞或进入其名人堂致谢榜,就已经非常不错的了。今天我要分享的这个漏洞,是迄今为止我上报漏洞中最简单容易的一个。 发现目标 在今年年初2月份的
WEB安全 存储型XSS漏洞 谷歌

ct-exposer:通过搜索CT日志发现子域

么是证书透明度(简称CT)? 证书透明度(Certificate Transparency)是谷歌力推的一项拟在确保证书系统安全的透明审查技术。其目标是提供一个开放的审计和监控系统,可以让任何域名的所
工具 ct-exposer CT日志 子域

XMR恶意挖矿案例简析

本文作者:colinhe,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 前言 数字货币因其技术去中性化和经济价值等属性,逐渐成为大众关注的焦点,同时通过恶意挖矿获取数字货币是黑灰色产业获取
系统安全 XMR 恶意挖矿

某开源博客系统最新版源码审计记录TIPS

本文原创作者:davichi8282,本文属于FreeBuf原创奖励计划,未经许可禁止转载 0×00 概述 近期审计一个JAVA开源博客系统mblog2.5最新版,整体系统还是很安全的,漏洞较少,传统
漏洞 网络安全 代码审计

中消协就Apple ID盗刷事件向苹果施压,但我想给苹果洗地……

段时间的 Apple ID 盗刷事件想必大家均有所耳闻,而最终事发原因似乎也大多数归咎于用户账户密码被泄露,导致异地登陆消费,虽然有用户表示找苹果客服申请退款成功,但目测只是少数。这件事成功引起了中消
资讯 apple id 中消协 盗刷

BEC诈骗横行,被黑账户可卖150美元到5000美元不等

igital Shadows 的信息安全专家进行了一项有趣的研究,探讨诈骗份子采用的技术渗透公司电子邮件,即所谓的BEC诈骗。 根据FBI的资料,2013年10月至2018年5月期间,全球变脸诈骗(B
资讯 BEC诈骗

小型互联网企业安全建设的管窥之见

本文原创作者:si1ence,本文属于FreeBuf原创奖励计划,未经许可禁止转载 0×0 背景 最近发现大家都在讨论一个人的安全部这个话题,两年前在某A轮互联网公司(80人左右的研发团队)做过一段一
企业安全 企业安全建设

如何通过Kibana、Wazuh和Bro IDS提高中小企业的威胁检测能力?

言 近来,我们一直都在通过一些开源免费的工具,来帮助中小企业提升其网络威胁检测能力。在本文中,我们将手把手的教大家通过Kibana,Wazuh和Bro IDS来提高自身企业的威胁检测能力。 什么是Wa
企业安全 Bro IDS Kibana wazuh

Cookie篡改与命令注入

本文原创作者:Aohanh,本文属于FreeBuf原创奖励计划,未经许可禁止转载 在渗透测试过程中,我们经常会遇到cookie得不到正确的利用,但是在一些框架中(比如PLAY、RACK),我们能利用c
漏洞 cookie注入 注入

非对称算法之RSA的签名剖析

本文作者:liang亮,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 前言 数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性
数据安全 RSA 数字签名

BUF早餐铺 | 全球网络安全人才缺口达到293万;苹果公司上线隐私权网站;加密劫持软件成为企业和消费者的头号威胁

位 Buffer 早上好,今天是 2018 年 10 月 18 日星期五,农历九月十一。今天的早餐铺内容有:全球网络安全人才缺口达到293万;苹果公司上线隐私权网站;加密劫持软件成为企业和消费者的头号
资讯 Tumblr 早餐铺 漏洞

挖洞经验 | 看我如何在短时间内对Shopify五万多个子域名进行劫持

天我要分享的是5万多个Shopify平台子域名劫持漏洞的发现过程。首先,我要说明的是,该漏洞不仅只存在于Shopify平台系统,还存在其它几个云服务平台系统中。在过去几周时间里,我们陆续联系了存在漏洞
WEB安全 子域名劫持

我是如何绕过Uber的CSP防御成功XSS的?

家好!在开始正式的内容之前,请允许我做个简单的自我介绍。首先,我要说明的是我不是什么安全研究人员/安全工程师,确切的来说我是一名安全的爱好者,这始于两年前的Uber。我喜欢接触新的事物,并且每天都在努
WEB安全 Uber xss

PHP两版本大限将至,全球近七成网站需紧急更新

为最受欢迎的服务器端语言,PHP 各版本已经被全球近8成的网站采用。而根据PHP 给出的各版本的生命周期,2019年1月1日开始,PHP 5 最后一个版本 5.6 将不再受支持,与此同时,PHP 7
资讯 php 网站漏洞

运维安全 | 等保视角下的SSH加固之旅

本文原创作者:ForrestX386,本文属FreeBuf原创奖励计划,未经许可禁止转载 0×00 前言 前段时间在搞等保,根据等保的安全要求,需要对公司的服务器进行安全加固,其中就涉及到对SSH S
系统安全 ssh 等保 运维安全

订阅源