A new Android trojan called SoumniBot has been detected in the wild targeting users in South Korea b...
『红蓝对抗』无文件落地攻击手法
点击蓝字 关注我们日期:2024年04月19日作者:hdsec介绍:总结几种 windows 中常见的无文件落地攻击手法,实际应用中还需结合免杀处理。0x00 前言无文件落地攻击(Fileless A...
ATT&CK - 基于主机的隐藏技术
基于主机的隐藏技术 基于主机的隐藏技术旨在使攻击者在他们采取行动的机器上隐蔽。可以使用二进制文件的静态链接、多态代码、利用文件格式、解析器或自删除代码的缺陷来实现这一点。 检测 可通过常见防御检测(是...
JSON解析不一致性漏洞探究
一背 景JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,易于人阅读和编写,同时也易 于机器解析和生成。它基于JavaScript语言标准ECMA-262第...
KeyTrap 攻击:一个 DNS 数据包可中断互联网访问
一个域名系统安全扩展 (DNSSEC) 功能中名为 KeyTrap 的严重漏洞,可能会长时间拒绝应用程序的互联网访问。KeyTrap 的编号为 CVE-2023-50387,影响着所有流行的域名系统 ...
Graphql安全问题概述
文章前言GraphQL是一种用于构建API的查询语言和运行时环境,它提供了一种灵活且高效的方式来获取和修改数据,随着GraphQL的流行和广泛采用,我们也需要认识到与其相关的安全问题和挑战,本文将概述...
探秘HTTP解析器的黑暗面:如何利用不一致性制造网络安全漏洞
HTTP 协议在 Web 应用程序的无缝运行中发挥着至关重要的作用,但是,跨不同技术的 HTTP 解析器的实现可能会引入细微的差异,从而导致潜在的安全漏洞。在这项研究中,我的重点是发现跨各种 Web ...
2023 年十佳 Web 黑客技术
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay...
第2章:Kaleidoscope实现解析器和ast
⊙2.1简介⊙2.2抽象语法树⊙2.3语法解析器基础知识⊙2.4基本表达式解析⊙2.5二进制表达式解析⊙2.6解析其余部分⊙2.7 调度循环部分⊙2.8 完整代码2.1 第2章简介第一章我们介绍了万花...
从解析器的角度探究绕WAF姿势
0x01 前言分享一下之前记得笔记吧,关于使用Srping 5.x StandardServletMultipartResolver文件上传解析器绕waf的学习。0x02 代码分析 参考以下信...
ChatGPT 帐户接管 - 通配符网络缓存欺骗
介绍以下是我如何接管您在 ChatGPT 中的帐户。去年,Nagli 在 ChatGPT 中发现了一个网络缓存欺骗漏洞。其影响至关重要,因为它导致用户的身份验证令牌泄露,并随后导致帐户被接管。Open...
DNS安全爆出史诗级漏洞,可导致全球互联网大面积瘫痪
近日,网络安全研究人员发现了一个可导致全球互联网瘫痪的名为KeyTrap的严重漏洞。该漏洞隐藏在域名系统安全扩展(DNSSEC)功能中,可被攻击者利用发动DoS攻击,长时间阻断应用程序访问互联网。Ke...