优秀来稿推荐 类别下的文章 文章類別歸檔


某越南网站惨遭蹂躏
2月前
  • 2
  • 0

某越南网站惨遭蹂躏

今天继续分享一个数据库。

阅读更多
引用不安全第三方框架淘宝分站致被黑-可涉及到雅虎,腾讯等
4年前
  • 2
  • 0

引用不安全第三方框架淘宝分站致被黑-可涉及到雅虎,腾讯等

该漏洞由习科VIP内部核心交流技术测评人员放出,提交至淘宝官方后,群截止本文发布,习科已经确认淘宝目前已经停止了该子域名的解析。

我们只是还原了早期黑客入侵的过程,目前尚不能确定是否会继续波及到雅虎、腾讯等引用该第三方框架的其他大型门户网站。

 

 

 此次的过程还原,我们发现历史是惊人的相似,曾经类似的门户有51CTO,通过技术含量并不高的手段入侵,发现上面有很多黑客都心照不宣的往下搬数据,地下圈子倒卖,而51CTO的态度是。。别特么的明目张胆的卖就好了。。就好了。。。好了。。。了。。。

不知道这次紫微星座会怎么处理这件事。

阅读更多
内网端口转发方法汇总
5年前
  • 4
  • 1

内网端口转发方法汇总

小编近期正在新加坡出差,黑板报更新不及时请大家谅解~~小编在下月回归后将继续给大家带来新鲜的全球安全资讯,希望大家一如既往的关注习科黑板报。



本篇文章由习科论坛会员小Dの马甲原创供稿,文章中将内网端口转发的方法进行了一些汇总,希望给大家带来启发。

阅读更多
百度注入漏洞的启示:如何来评定安全标杆
5年前
  • 6
  • 2

百度注入漏洞的启示:如何来评定安全标杆

 

算起来中央电视台已经有很久没有黑度娘了,近日小编收到投稿,说百度注入点一枚,咩哈哈,度娘啊度娘,你这是给小编一次黑你的机会啊,看我怎么低端黑变高级黑。

其实有注入点并不稀奇,即使是注入点出现在百度,也不稀奇。就在一两年前,百度某个分站还曾因为FCKeditor被拿到过webshell,虽然百度声明这个分站疑似是外包给别的公司的,不过就在半年前,百度另外一个分站也被拿到过webshell,用的是Struts2的0day。

就在今年八月份北京Kcon V2大会上,百度的大哥哥还做了一篇演讲《互联网公司通用XSS解决方案探讨》,小编不禁好奇,百度公司的产品线除了防XSS有解决方案,是否还有防注入呢?平心而论,百度在防XSS方面投入很大,做的也很好,但是通过这个注入点却侧方位体现出百度在SQL注入防护上面的不足。

我们来看详情。

阅读更多
简述各国网络安全防火墙榜中榜 三胖V5
6年前
  • 4
  • 1

简述各国网络安全防火墙榜中榜 三胖V5

来源:习科论坛

原文地址:http://bbs.silic.org/thread-4540-1-1.html

建设网络防火墙的国家很多,本文不一一陈述,所以列了一个排行榜,榜单上榜5名

注:本文非技术文,非科普文,非安全报告,非吐槽,非搞笑,因此谢绝转载

 

第五名:印度尼西亚
上榜理由:屁大点小国家居然搞的有模有样
原理:
    较为简单的DNS污染,与我大TC的防火墙雏形如出一辙,我很怀疑是某明啥的去印尼搞的建设,如果不是的话建议某明去那里教教这帮未开化的大猴子们。
    绕过方式只要重新设定DNS就可以了。
建设部门:具体叫什么名字不是很清楚,但是解封域名的话可以联系triplegate.net.id的人,这是个什么机构看不懂猴文,不解释。
示例:

阅读更多
金融云平台恒生网络ihoms多处漏洞
4年前
  • 1
  • 0

金融云平台恒生网络ihoms多处漏洞

金融云平台恒生ihoms属于国产较为知名的金融平台了,习科论坛某黑色产业从业者匿名向习科提交了恒生ihoms官网的多处漏洞,经过习科VIP核心团队的测试发现,漏洞真实有效,可获得服务器及数据库以上的权限。

 

该匿名黑客向习科阐述了其几个月以前尝试入侵的过程,习科简单测试了一下漏洞,大概有验证码虚设、任意登陆和文件包含几处漏洞。

阅读更多
作战故事:闪电跟踪
5年前
  • 5
  • 0

作战故事:闪电跟踪

时隔一年半,论坛的作战故事连载又要更新啦!为大家科普渗透与反渗透基础的福利文!出场人物介绍可以到习科论坛连载专帖查看~

 

 

连载故事以安全厂商和黑客的日常工作和生活为背景,渗透和反渗透为技术主线,为广大网络安全爱好者普及最基本的网络入侵与反入侵安全知识,表现安全从业者生活的枯燥乏味却必须要严谨认真的工作态度。希望大家支持~

阅读更多
从新浪XSS漏洞浅谈XSS技巧
5年前
  • 12
  • 0

从新浪XSS漏洞浅谈XSS技巧

 随着网络时代的飞速发展,网络安全问题越来越受大家的关注。当年杀遍大江南北的SQL注入攻击也随着各种防注入软件、waf或者CDN的出现开始慢慢离我们而去。一种非实时的攻击手段XSS跨站脚本攻击逆流而上,慢慢的开始在最近几年崛起,充分印证了“没有绝对的安全”这句话。

本文通过对新浪某分站的XSS漏洞向大家简述一些XSS漏洞的利用技巧,希望大家能有所收获。

XSS攻击:允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。SQL注入漏洞有很多技巧可以使用,在XSS攻击中也有很多技巧。

阅读更多
又相信爱情了 男孩求婚被打 新闻假视频分析
5年前
  • 1
  • 0

又相信爱情了 男孩求婚被打 新闻假视频分析

近日网络推手公关公司、一系列无节操无下限网络水军被国内相关部门整顿,这类水军推手有木有觉得自己很牛X?把事情炒得真真假假红红火火,可惜这种无节操无下限的炒作,都比不了国际范牛逼,软文广告视频居然连CCXV都跟着报道,这在国内恐怕是前无古人后无来者吧,让小编我顺便想起了今年愚人节维珍集团给大家开的愚人玩笑,居然也让CCXV信以为真无节操播报,给维珍做了一次好广告(CCXV的广告费真便宜啊),国内的推手们,接轨国际好好学学吧。

大家都知道在大约一个月前,互联网上突然就火了一段视频,这段视频讲的内容很有意思,事情大概是发生在印度孟买,男主角操着一口流利的方言英语向女主角求婚,女主角一阵Nononooonono..之后,从身后的小提琴手那里捞起小提琴把男主角打翻在地。这段视频似乎是在世界各地一夜爆红,点击量指数倍上升,两天之内在youtube的点击破百万,迅速成为各大小媒体娱乐版头条,可谓是狂追酷炫吊炸天啊。

 

 

其实最最有意思的是,这个视频彻头彻尾的根本就是个骗局。待看小编为你揭秘

我们从细节上来一一分析好了。

阅读更多