引言 内容安全策略(CSP)是为 Web 应用提供的一层安全保护,能够帮助检测并阻止诸如跨站脚本(XSS)、点击劫持、数据泄露或混合内容加载等客户端攻击。Web 应用会在其响应头中设置 ...
07月02日17 views评论xss
安全策略
内容安全策略(CSP)绕过详解
07月02日17 views评论xss
安全策略
07月02日17 views评论xss
安全策略
ChaCha20 加密算法的实现与逆向分析
文章作者:selph 文章来源:https://xz.aliyun.com/news/18319 ChaCha20 加密算法的实现与逆向分析 简介 ChaCha20是一种流密码算法,用于...
06月30日安全文章19 views评论加密算法
逆向分析
【银行逆向百例】10小程序逆向之Yakit 魔术方法beforeRequest实时修改签名
“我们在日常生活中度过的每一天,实际上也许是连续发生的奇迹也说不定呢。——《日常》E04”[原创]【银行逆向百例】10小程序逆向之Yakit 魔术方法beforeRequest实时修改签名https:...
06月25日14 views评论params
yakit
cs免杀loader2(bypass360,火绒6.0,defender)
原文首发在:先知社区 https://xz.aliyun.com/news/18194 昨天写的一个,实测过御三家,分享一下吧 老规矩,我们先看效果 效果展示 1.bypass360 测试时间是202...
06月16日21 views评论bypass
loader
从TSJCTF & Codegate的两道crypto题中学习新姿势
0x00 背景 周末的时候参加了TSJCTF和codegate的比赛,感觉其中有两道题思路比较新颖,有一些新的知识值得学习,记录一下以便日后翻阅。 0x01 TSJCTF Signature Cate...
06月10日19 views评论aes
crypto
JS逆向 某试鸭web逆向题目
网站地址:aHR0cHM6Ly93d3cubWlhbnNoaXlhLmNvbS8=难度:入门1.f12请求分析按f12不能直接打开 ,手动打开禁止当前debugger生效请求数据是加密的2.代码分析直...
06月07日13 views评论JS逆向
signature
Windows认证协议的前世今生:从脆弱的LM到钢铁侠Kerberos
最近在研究Windows组策略时,在LAN管理器身份验证级别中“只发送NTLMv2 响应”。这让我不禁好奇,NTLMv2 到底是个啥?它为何如此重要?带着这些疑问,我翻阅了不少资料,顺便整理了一些冷知...
06月07日14 views评论kerberos
ntlm
Yakit热加载实现流量解密
WELCOME 网络安全·诚邀合作 我们C4安全团队是一支专业、高效、富有经验、团结的信息安全服务团队,由一群经验丰富、技术精湛的安全专家组成,他们在网络安全领域都有各自发光发亮的...
05月23日27 views评论signature
yakit
前端加密对抗常见场景突破之进阶
文章作者:先知社区(1398133550745333) 文章来源:https://xz.aliyun.com/news/17099 前言 前面分析了几种最基础的,但是现在的前端加密往往都...
04月08日14 views评论aes
crypto
ECDSA 签名中的私钥泄露:elliptic 库畸形输入漏洞分析
作者:enze编辑:Liz引言近期,JavaScript 生态中广泛使用的 elliptic 加密库被发现存在严重安全漏洞(GHSA-vjh7-7g9h-fjfh)。攻击者可以通过构造特定输入,在仅签...
03月04日安全新闻51 views评论javascript
漏洞分析
漏洞分析 | 小米路由器的未授权访问
Mi-RouTer01漏洞产生小米路由器由于Nginx的配置文件,没有配置好,存在一个目录穿越的漏洞。在Nginx当中存在该漏洞,配置如下:location /xxx { alias /abc/;}0...
02月26日47 views评论未授权访问
漏洞分析
从TSJCTF & Codegate的两道crypto题中学习新姿势
0x00 背景 周末的时候参加了TSJCTF和codegate的比赛,感觉其中有两道题思路比较新颖,有一些新的知识值得学习,记录一下以便日后翻阅。 0x01 TSJCTF Signature Cate...
02月25日17 views评论aes
crypto