Tag:网络安全

Tag (网络安全)'s result:

聊聊近期的几起数据泄漏事件

0x00 14亿邮箱密码泄漏 6月10日,网上爆出一个邮箱密码查询网站: http://dumpedlqezarfife.onion.lu 可以按前缀查询14亿邮箱的明文密码,涉及Gamil、Hotmail、Yahoo、sina、qq、163、sohu、Aol等知名电邮厂商注册用户和一些公司企业、大学科研机构以及少量政府单位的邮箱使用用户……

openresty服务器图片解析成html可进行钓鱼欺诈

0x00 概述 前几天在t00ls看到个帖子https://www.t00ls.net/articles-44378.html,顿时感觉超NB,攻击者可以利用这个问题在图片中插入任意js进行钓鱼欺诈,赶紧测试一下,果然重现成功!   0x01 漏洞重现 利用帖子作者给的测试站进行测试: new.hi.163.com 这里不用头像……

sql盲注之布尔盲注

0x00 概述 渗透的时候总会首先测试注入,sql注入可以说是web漏洞界的Boss了,稳居owasp第一位,普通的直接回显数据的注入现在几乎绝迹了,绝大多数都是盲注了,此文是盲注系列的第二篇,介绍盲注中的布尔盲注。   0x01 布尔盲注原理 关注于sql语句是否执行成功,而页面只返回true或false。 主要函数: lef……

重温经典-IIS短文件名漏洞分析及利用

0x00 前言 早就听说过这个Bug,上古级别的漏洞,一直没有实战过,前段时间有幸遇到一个实例,顺便重温下这个经典漏洞。   0x01 利用条件 IIS+.NET都开启。   0x02 漏洞分析及利用 为了兼容ms-dos,对于一些长文件(或文件夹)名,windows会以win 8.3格式生成对应的短文件名。 格式是长……

简谈RSA加密

0x00 概述 公钥加密算法,非对称加密,一般用公钥加密,私钥解密,密钥越长越难被破解,基于分解大素数这个数学难题,关键参数n(p*q),p,q,L,e,d。公钥(e,n),私钥(d,n)。密钥对(n,d,e)。密文c = 明文m的e次方 mod n,明文m = 密文c的d次方 mod n。 图1:rsa加密脑图(来源:www.freeb……

DNS域传送漏洞总结

0x00 概述 如果对dns不熟悉,可先阅读一文读懂域名解析流程 DNS服务器分为主服务器,备份服务器,缓存服务器。备份服务器需要利用“域传送”从主服务器上copy数据,然后更新自身的数据库,以达到数据同步的目的,这样是为了增加冗余,万一主服务器挂了还有备份服务器顶着。而“域传送”漏洞则是由于dns配置不当,本来只有备份服务器能获得主服务……

浅析数字证书和数字签名

0x00 前言 看了网上不少关于这类的文章,百花齐放,各有优缺,本人对这方面也有些地方不甚了解,故有此文以记录总结。   0x01 加密算法与哈希简介 1. 加密算法: 1.1 对称加密:加解密用相同密钥。大量密钥管理困难,但是加密速度块。 如:DES、3DES、AES、RC4、IDEA等 1.2 非对称加密:分为公/私钥,公钥……

关于代理和隐藏IP的整理

//以前了解了下代理和隐藏IP的一些内容,整理下发出来,算是一个总结,部分内容来源于网络,LSA整理而得。 代理服务器实际上是一台服务器,介于浏览器和你要访问的网站之间。当你通过代理服务器上网浏览时,浏览器不是直接到Web服务器中取回网页,而是首先向代理服务器发出请求,由代理服务器到要访问的网站上取回网页,然后再传送给你的浏览器。 1.代……

(转)图解正向代理、反向代理、透明代理

原文地址:http://z00w00.blog.51cto.com/515114/1031287 套用古龙武侠小说套路来说,代理服务技术是一门很古老的技术,是在互联网早期出现就使用的技术。一般实现代理技术的方式就是在服务器上安装代理服务软件,让其成为一个代理服务器,从而实现代理技术。常用的代理技术分为正向代理、反向代理和透明代理。本文就是……