作者: Johnson666 来源:http://33h.co/25wfj钓鱼网站一、网络拓扑图二、实施步骤1.Hacker 克隆钓鱼网站,以 139 邮箱登录网站为例:htt...
神兵利器:一款适用于红蓝对抗中的仿真钓鱼系统
Goblin 是一款适用于红蓝对抗的钓鱼演练工具。通过反向代理,可以在不影响用户操作的情况下无感知的获取用户的信息,或者诱导用户操作。也可以通过使用代理方式达到隐藏服务端的目的。内置插件,通过简单的配...
利用AWS Lambda函数漏洞实现初始访问
在本文中,我们将从黑盒测试和白盒测试的角度为大家解释一个真实的攻击场景:攻击者是如何使用易受攻击的AWS Lambda函数获得对云环境的初始访问权限的。最后,我们将为大家介绍针对这种攻击手法的最佳防御...
实战 | 价值126,000 美元的漏洞导致Facebook帐户接管的故事
简述Facebook 多年来一直允许在线游戏所有者在 apps.facebook.com 中托管他们的游戏/应用程序。其背后的想法和技术是游戏(基于 Flash 或 HTML5)将托管在所有者网站中,...
新姿势绕过应用的ROOT检测
本文为看雪论坛优秀文章看雪论坛作者ID:镜中人24一前言最近一直在研究国企,更多的是银行相关的应用,发现几乎所有的应用都引入了ROOT检测机制,通过数次逆向分析ROOT检测的实现和尝试绕过检测机制,也...
Android 系统的安全模型
简介Linux 是一个多用户操作系统,主要安全目标是使不同的用户相互隔离, 例如不同用户创建的文件相互无法访问,不同用户创建的程序不会相互的耗尽内存或CPU资源(参考操作系统的死锁)。Android ...
CSRF及SSRF漏洞案例讲解
原文作者:zhengna 原文地址:https://www.cnblogs.com/zhengna/p/15774611.htmlCSRF原理图解知识点CSRF解释、原理:C...
装有银行木马的双因素认证应用通过Google Play攻击了1万名用户
一个恶意的双因素认证(2FA)应用程序在上架两个多星期之后,已经从Google Play中删除了。但在此之前它已经被下载了超过10,000次。作为一款2FA认证器,这款应用功能齐全,但却加载了Vult...
解锁一辆车的非“优雅”方式
本文为看雪论坛优秀文章看雪论坛作者ID:kxliping声明:本文所有实验均在封闭条件下进行,未影响其他用户正常使用。本文包含的技术仅供学习交流,切勿违法使用。一简介遥控车钥匙的安全问题是车辆安全研究...
CVE-2021-4034 深入分析及漏洞复现
漏洞分析这个漏洞比较nb,现有的所有版本的pkexec都受到影响polkit是一个授权管理器,其系统架构由授权和身份验证代理组成,pkexec是其中polkit的其中一个工具,他的作用有点类似于sud...
系统管理员排除故障的五种武器 | Linux 中国
导读:当你不知道从哪里开始时,这五个工具可以帮助你找到用户的 IT 问题的源头。 本文字数:2546,阅读时长大约:4分钟https://linux.cn/...
关于 Linux Polkit 本地权限提升漏洞的安全公告
关于 Linux Polkit 本地权限提升漏洞的安全公告近日,监测发现Qualys研究团队披露在 polkit 的 pkexec 程序中发现本地权限提升漏洞。2022年1月26日,Linux发布pk...
103