于04-03 12:33 - Gea-Suan Lin - Computer Linux Murmuring OS Security
在 Hacker News 上看到「 Problems emerge for a unified /dev/*random (lwn.net)」的,原文是「 Problems emerge for a unified /dev/*random」(付費內容,但是可以透過 Hacker News 上的連結直接看).
于03-04 15:03 - - Download macOS Linux Windows Security
请访问原文链接: Metasploit Framework 6.1.32+20220303 (macOS, Linux, Windows) -- 渗透测试框架,查看最新版. 作者主页: www.sysin.org. 世界上最广泛使用的渗透测试框架. 知识就是力量,尤其是当它被分享时. 作为开源社区和 Rapid7 之间的合作,Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识;它使防守队员能够始终领先比赛一步(或两步).
于01-02 16:38 - 陈皓 - 程序设计 网络安全 mTLS Security TLS
这篇文章是《 HTTP API 认证授权术》的姊妹篇,在那篇文章中,主要介绍了 HTTP API 认证和授权技术中用到的 HTTP Basic, Digest Access, HMAC, OAuth, JWT 等各种方式,主要是 API 上用到的一些技术,这篇文章主要想说的是另一个话题——身份认证.
于11-02 10:34 - - Security macOS Linux HTTP
请访问原文链接: Burp Suite Pro 2021 (macOS, Linux) -- 查找、发现和利用漏洞,查看最新版. 作者:gc(at)sysin.org,主页: www.sysin.org. Burp Suite Professional 是一套用于测试 web 安全性的高级工具集 —- 所有这些都在一个产品中.
于10-14 15:18 - - Spring Boot Spring Boot Spring Security JWT
最近有个粉丝提了个问题,说他在Spring Security中用JWT做退出登录的时无法获取当前用户,导致无法证明“我就是要退出的那个我”,业务失败. 经过我一番排查找到了原因,而且这个错误包括我自己的大部分人都犯过. 之所以要说Session会话,是因为Spring Security默认配置就是有会话的,所以当你登录以后Session就会由服务端保持直到你退出登录.
于11-24 15:11 - Gea-Suan Lin - Computer Murmuring Network Privacy Security
在 Facebook 上被朋友敲可以測 ZeroSSL,另外一個透過 ACME 協定提供免費的 SSL Certificate,不過目前只有支援單一網域名稱 (DV):「 Another free CA as an alternative to Let's Encrypt (scotthelme.co.uk)」.
于04-23 21:22 - Jeffrey - Security
接獲報案,某網站的SSL圖示忽然被Chrome打上紅叉叉,https字眼也被劃掉,有種駭客正站在你背後的驚悚感. 檢視該網站SSL憑證尚未到期,改用Firefox、IE檢視並無異樣,只有Chrome在連線資訊提及沒有公開稽核記錄、安全性設定已過時、使用過舊密碼編譯法等缺失. 以上提到的缺失並不算新鮮事.
于09-11 06:30 - Jeffrey - Security
在網路上看到 Gmail 密碼外洩消息,我「震驚」了…由於與個人資安切身相關,當然要深入了解,便找了資料來讀,順便整理分享. 本週二,有人在俄羅斯 Bitcom 論壇貼了一份 493 萬筆 Gmail 帳號密碼清單,被俄羅斯媒體 CNews 報導後,隨即在網路「瘋傳」(咳… 可以不要玩這些哏了嗎. 論壇管理者事後移除清單裡的密碼,只留下帳號,而貼出清單的原PO則再跑出來聲稱其中 60% 的密碼是有效的.
于05-26 11:53 - LQ - 网络安全 Hack network security router 入侵
前段时间我一个在信息安全领域的朋友让我干一件很奇怪的事情.他让我入侵他.为了保持匿名,就让我们叫他比尔吧.无辜的人名和地名也都已经匿名.供应商的名字依然保留以便追究责任.. 入侵大公司很容易.他们拥有的信息资产跨越全球,并且不太注重对各种各样的防护技术的投入.跟踪所有资料实在有难度.它要求对组织内所有资产有禅宗般每天严格遵守”扫描-打补丁-重复”的原则,不能有一点闪失 ..
于11-28 14:40 - 谋万世全局者 - Linux Security Tools UNIX 个人日记
PS:美帝知名网络安全网站SecTools在2011年年底对目前最流行的网络安全工具做了排名,这些工具里有部分也是我本人常用的,有开源的也有商业的. 详细榜单请看:(本人没空翻译了,英文不好的童鞋查查翻译工具.
于09-17 18:20 - blackhat - security
一位安全研究员演示通过按键和语音命令攻击交互式话音响应系统(IVR),成功关闭电话系统的按键音和语音激活,甚至诱使其公开敏感信息. 在测试中,一家匿名印度银行的电话系统披露了客户的PIN码. 研究人员称,SQL盲注攻击和缓冲溢出攻击可适用于几乎任何IVR系统,没有银行或企业组织测试过IVR系统,它们以为它是安全的,但事实上它并不安全,没有防火墙或验证码监视语音流量.
于12-04 19:25 - 谋万世全局者 - Linux Security Tools UNIX Windows
PS:这款暴力密码破解工具相当强大,支持几乎所有协议的在线密码破解,其密码能否被破解关键在于字典是否足够强大. 对于社会工程型渗透来说,有时能够得到事半功倍的效果. 本文仅从安全角度去探讨测试,使用本文内容去做破坏者,与本人无关. hydra是著名黑客组织thc的一款开源的暴力密码破解工具,可以在线破解多种密码.
于01-03 00:54 - Gea-Suan Lin - Computer Hardware Murmuring Network Security
在「 Don’t Have a False Sense of Security: 5 Insecure Ways to Secure Your Wi-Fi」這篇文章裡面提到了五個「不安全的安全措施」:. 過濾 Mac Address. WPA 或 WPA2 但仍使用短密碼或弱密碼. 無線網路不太好搞啊… 有些公司是直接限制無線網路只能連到 VPN server,利用 IPSec VPN 或是 SSLVPN 保護.
于05-16 15:06 - 谋万世全局者 - DataBase Linux Security 运维经验 Web安全
Web安全原则 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP. 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可配置,支持在锁定时间超时后自动解锁. 2.对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权.
于01-06 16:23 - Gea-Suan Lin - Computer Murmuring Network Programming Security
有時候我們會因為效能問題,在 HTML 內嵌入 JSON object,而不是再多一個 HTTP request 取得. 但「嵌入」的行為如果沒有處理好,就產生非常多 XSS attack vector 可以玩. 首先最常犯的錯誤是使用錯誤的 escape function:. 這樣可以用