Kerberos协议探索系列之票据篇
0x00 前言在上一篇中说明了Kerberos的原理以及SPN的扫描和Kerberoasting的攻击方式,本章具体说一下Kerberos曾经爆出的一个经典的漏洞MS14068和金银票据的原理和利用方式。MS14068是一个比较经典的漏洞,曾经也有同学在平台上说明过,本文炒一次冷饭并且对增强型的金票据做一个说明。 0x01 MS14068MS14068是一个能够使
Facebook破获了针对英国和罗马尼亚引的造谣活动
Facebook表示,他们已经发现并删除了与两起在英国和罗马尼亚制造政治摩擦的网络活动的相关内容。Facebook将这些网络活动归类为造谣行为,因为他们歪曲了事实,误导访问者。通过Facebook关于网络造谣的内部调查,发现了一起冒充政治人士的造谣行为,表面上看他们分别代表极右翼和反极右翼,不断的对英国政治进行错误解读。“今天我们删除了137个Facebook和Instagram的帐户,页面和群组
赛门铁克:网络罪犯通过表单劫持牟取数百万美金暴利
3月7日,全球网络安全领域领导厂商赛门铁克公司(纳斯达克:SYMC)发布第24期《互联网安全威胁报告》(ISTR)。报告显示,随着勒索软件和密码窃取带来的收益不断减少,网络犯罪分子正在伺机寻找其他的方法来牟取利益,如网页表单内容劫持(Formjacking,以下简称"表单劫持")。赛门铁克年度威胁报告披露更具破坏性、更隐蔽的网络攻击,为企业及消费者提供网络威胁全方位视图·&nb
五分钟发现Edmodo网站的XSS漏洞
各位漏洞猎人好!在这篇文章中,我将告诉你我是如何在Edmodo(一个教育互动平台)发现XSS的。这个漏洞是我一个月前发现的。Parth Shah写的一篇关于存储型XSS的文章启发了我。在我浏览edmodo.com网站时,发现了以前从未见过的URL,页面只有一个登录页面和一个简单且过时的布局。嗯,看样子可能存在漏洞。所以,让我们开始吧!那个页面的URL如下:目标URL:https://www.edm
.NET高级代码审计(第一课)XmlSerializer反序列化漏洞
作者:Ivan1ee@云影实验室0X00 前言在.NET 框架中的 XmlSerializer 类是一种很棒的工具,它是将高度结构化的 XML 数据映射为 .NET 对象。XmlSerializer类在程序中通过单个 API 调用来执行 XML 文档和对象之间的转换。转换的映射规则在 .NET 类中通过元数据属性来表示,如果程序开发人员使用Type类的静态方法获取外界数据,并调用D
你知道你的iPhone有一个详细到令人惊讶的定位记录么?
在iPhone各项设置中,存在一种很少iPhone用户意识其存在,但一旦知道就会很不舒服的特殊定位记录。一般来说,我们都知道当使用某些应用来共享一些生活信息,例如咖啡店,天气等,我们的iPhone肯定会进行定位。但在一次快速调查中,我发现我的朋友中没有一个人知道我所提及的 Significant Locations列表(中文版为重要地点)。Significant Locations记录了我在过去几
极富争议的NSA手机数据收集项目已关闭六个月
介绍Logitech的Harmony Hub是一款很受欢迎的智能家居设备,可与家中所有的联网设备进行通信和控制。目前在全球已有数百万用户使用,支持来自6000个品牌的27万台设备。Tenable最近发布了这个产品的关键的、未公开的漏洞,允许攻击者在未授权的情况下远程控制设备。Hub因其脚本编写和自动化功能而深受好评。随着智能家居越来越主流,一个功能强大的控制器显得愈发重要。亚马逊(Alexa)
Nexus Repository Manager三个新漏洞已被用于挖矿木马传播
背景近日,阿里云安全监测到watchbog挖矿木马使用新曝光的Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)进行攻击并挖矿的事件。值得注意的是,这一攻击开始的时间(2月24日)与2月5日上述产品的母公司发布漏洞公告相隔仅仅半个多月,再次印证了“漏洞从曝光到被黑产用于挖矿的时间越来越短”。此外,攻击者还利用了Supervisord、ThinkPHP
Kerberos协议探索系列之扫描与爆破篇
0×00 前言Kerberos 是一种由 MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。在了解 Kerberos 的过程中,发现很多网站上的相关文章有一些是机器直接翻译过来的,也有一些写的比较优秀的文章,但是实操性比较弱,可能第一次了解 Kerberos 的同学会不知道怎么上手。所以本文主要是通过更详细的实验结合原理来说明与
2019 黑客报告:白帽收入最高竟是普通程序员的40倍
HackerOne 平台发布年报,内容主要包括:黑客从哪里来?为何挖漏洞?最喜欢的黑客目标和工具是什么?从哪里学习?为何要和他人协作等等。另外,还公布了首位获得百万赏金的黑客年仅19岁且自学成才。报告数据来自 HackerOne 调查数据以及2018年12月以及2019年1月的 Harris 调查数据,后者的数据来自100多个国家和地区超过3667名黑客。HackerOne 平台数据来自成功