金融服务机构和客户的头号威胁:94%的攻击都来源于这四种
94%观察到的金融服务攻击来自四种方法之一:SQL注入(SQLi),本地文件包含(LFI),跨站点脚本执行(XSS)和OGNL Java注入。Akamai 2019年互联网安全金融服务攻击经济报告的数据显示,在所有受到网络钓鱼域影响的机构中,有50%都来自金融服务行业。此外,数据显示,在18个月内,攻击者发起了高达35亿次攻击尝试,不仅利用网络钓鱼,还利用了凭证填充攻击,这使金融服务客户的个人数据
XSS利用中的一些小坑
译文声明本文是翻译文章,文章原作者mwrinfosecurity,文章来源:labs.mwrinfosecurity.com 原文地址:https://labs.mwrinfos
Invoice钓鱼邮件姿势多,进出口企业机密信息易泄漏
0×0 背景近日,深信服安全团队接到某大型进出口企业反馈,根据安全感知平台提示,内网部分邮箱遭受到恶意邮件的攻击。通过安全研究人员分析发现,该恶意邮件包含一个疑似lokibot恶意软件的附件,主要是用于窃取用户各类账号密码等机密信息。通过过程中的一些数据分析确定这是一起针对特定行业的定向攻击事件。0×1 过程通过对安全感知平台里面的安全日志分析可以发现,客户的部分邮箱收到了很多恶意邮件,发件人地址
无密码身份认证即将来临
密码一直以来存在很多问题,依赖它们进行用户身份认证也是有缺陷的。一段时间以来,这一直是信息安全社区公认的事实,但是密码认证方式仍然无处不在。一项针对200名安全专业人员身份管理计划的研究表明,在设计和实施身份管理方面,所有人对于自己选择的认证方式都有充足的理由。虽然大多数组织仍然依赖用户名和密码方案进行身份验证,但他们意识到了其中的不足并设计了无密码的方案。密码的普及性与问题研究发现密码具有很高的
Rock-ON:一款多功能合一的网络侦察工具
今天给大家介绍的是一款名叫Rock-ON的网络侦察工具,它是一款多功能合一的情报侦察工具,广大研究人员只需要给它提供一个域名地址,剩下的工作就可以交给Rock-ON来完成啦! 一、工具介绍Rock-On是一款集多功能于一身的网络侦查工具,它可以给广大研究人员的网络侦查活动提供帮助。它的主要功能是将整个网络侦查过程中需要手动处理的过程全部以自动化的方式实现,以帮助研究人员节
HTTPS劫持研究
这篇文章描述了我们对哈萨克斯坦政府实施的电信级HTTPS劫持的分析。哈萨克斯坦政府最近开始使用一个假的根证书颁发机构,对包括Facebook,Twitter和Google等网站在内的HTTPS连接进行中间人(MitM)攻击,在此文中,我们给出了还在进行中的研究的初步结果,以及哈萨克劫持系统中新的技术细节。情况提要哈萨克斯坦最近开始使用一个假的根证书颁发机构对HTTPS连接进行劫持。这一行为显著弱化
Golang蠕虫泛滥?让我们揪出其始作俑者
概述 近日,国外安全网站SECURITYWEEK披露,一款Go语言恶意软件正大量感染Linux服务器,其使用了多达6种传播感染方式,包含4个远程执行漏洞(ThinkPHP、THinkPHP2、Dural、Confluence),2个弱密码爆破攻击(SSH、Redis)。深信服安全团队对该蠕虫进行了追踪。目前为止,恶意软件较少会使用Go语言编写,这是由于依赖库的原因,编译出来的程序较为冗余
深入理解GOT表覆写技术
0x00:前言玩pwn的时候,有时要用到got表覆写技术,本文在于分享对GOT表覆写技术的理解,铺垫性的基础知识较多,目的在于让初学者知其然,还要知其所以然! 0x01:ELF文件生成过程//hello.c#include <stdio.h>int main(){ &nbs
在KVM加速的Qemu中运行Android Oreo
本文你将学习到如何在KVM加速的Qemu中运行Android Oreo (8.1.0) 系统,并通过我们的Linux x86_64主机上运行的Burp Suite,转发所有来自Android的流量。你将需要用到以下软件:Linux Mint 19.1 (x86_64) 作为我们的主机系统(内核中内置了KVM支持)Qemu(https://github.com/qemu/qemu)Android 8
CVE–2019-1132漏洞修复后仍可被利用
译文声明本文是翻译文章,文章原作者pwnrip,文章来源:pwnrip.com 原文地址:https://pwnrip.com/exploiting-cve-2019-1132-