全部文章

  水母干  

IBM Security Systems X-Force的高级研究员Doug Franklin把安全从业者之前一直关注的统称为DHS规范,因为这是美国国土安全部(DHS)在引导着这些社区驱动的努力成果。 这些规范包括知名的CVE、CVSS等等。而最近,诸如 CybOX, STIX and TAXII也开始进入大家的关注范围。

  hustcyc  

本文虽然比较科普,但是对于刚开始了解威胁情报的企业来说,其中的方法和思维还是值得学习的。如果大家感兴趣,Sobug后续会寻找一些这方面做得不错的企业的实操案例,给大家带来更多干货。

  小狼  

得到对方的授权后,那么接下来远程登录服务器进行一一排查分析,看看敌人究竟做了哪些坏事,先从系统完整性开始入手排查。

13 4

  小狼  

六一即将到来,ubuntu和debian确因为fusermount二进制调用变量不严谨导致曝出高危本地root权限提升漏洞.

  hustcyc  

超文本传输协议(HTTP)提供了多种请求方法来与web服务器沟通。当然,大多数方法的初衷是帮助开发者在开发或调试过程中部署和测试HTTP应用。如果服务器配置不当,这些请求方法可能被用于一些不法用途。

  hustcyc  

DDoS(又名"分布式拒绝服务")攻击历史由来已久,但却被黑客广泛应用。我们可以这样定义典型的DDoS攻击:攻击者指使大量主机向服务器发送数据,直到超出处理能力进而无暇处理正常用户的合法请求,最终导致用户无法正常访问网站。

  Eva  

“大数据”时代,数据成为决策最为重要的参考之一,但是大数据这个概念似乎还依旧停留在云端。如何利用大数据响应节节攀升的市场变化速度,同时也将企业利用数据驱动精益运营的能力推到一个至关重要的地位。

  小狼  

愚人节即将到来,OpenSSL再次因Bar Mitzvah Attack漏洞弄的大家不得安宁。

4 4

  Nicky  

笔者在使用自己编写的 Drozer 模块对国内流行的安卓手机应用进行自动化扫描后发现有大量涉及用户财产和隐私的流行安卓应用存在 Android AllowBackup 漏洞

13 8

  小狼  

临近元宵佳节之际,OpenSSL又因为FREAK attack(also known as the Factoring Attack on RSA-EXPORT Keys vulnerability or CVE-2015-0204)漏洞吵得沸沸扬扬的。 苹果和谷歌均在本周二表示,它们正在修复近期发现的“FREAK”信息安全漏洞,这一漏洞已经影响了诸多移动设备和Mac电脑。

  小狼  

在大家欢天喜地度春节时,安全界近日又爆出Samba被发现存在远程命令执行漏洞(CVE-2015-0240)。原因是在Samba的守护进程smbd中发现一个未初始化的指针使用缺陷;允许一个恶意的Samba客户端发送特定的netlogon数据包给smbd获得smbd运行的权限,而smbd的默认权限是root。

  小花猫

漏洞时间旨在引导业内回归漏洞本质,关注漏洞细节,分享白帽子在安全测试过程中的技巧。

14 7

  泳少  

本文总结了利用弱验证码重置任意用户密码的过程,从漏洞产生原理到攻击手法阐述的手法非常详细,值得新手阅读

  he1renyagao  

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

  px1624  

本文主要分三种情况讲述了常见CSRF的挖掘技巧,后面利用了如果把CSRF危害扩大,非常详细,推荐阅读

  Boom  

本文总结了利用弱验证码重置任意用户密码的过程,从漏洞产生原理到攻击手法阐述的手法非常详细,值得新手阅读。

  小狼  

幽灵漏洞是Linux glibc库上出现的一个严重的安全问题,它可以让攻击者在不了解系统的任何情况下远程获取操作系统的控制权限。文章给出了检测存在该漏洞的方法及修复建议。

7 1

  nx4dm1n  

本文介绍了Android APP安全测试中常用的一些小工具同时也讲解了一个任意用户登录的挖掘过程,欢迎大家阅读

11 3

  pyphrb  

当webshell太多,需要去批量检测是否还存在怎么办,让我们来把这些繁琐的累人活抛给机器来做吧

  Boom  

本文介绍了 tamper 目录下面的脚本修改小技巧,从waf手工绕过到修改脚本一气呵成非常详细

  Boom  

内网渗透是黑客必须掌握的攻击手段之一。本文通过Faust一次真实的案例还原最真实的内网渗透

19 10

  feng  

本文总结了某网站越权漏洞挖掘的测试细节挖掘过程,非常适合刚入门的新手去读一读


关于漏洞时间

“凡战者,以正合,以奇胜”。

——《孙子兵法》

安全众测并不是封闭的测试,漏洞时间旨在引导业内回归漏洞本质,关注漏洞细节,分享白帽子在安全测试过程中的奇技妙巧。这里没有恶意炒作,没有选择性公布。我们力图让分享和不作恶成为Sobug众测的代名词。

当然,我们欢迎白帽子投稿参与进来,有白帽子的参与Sobug才完整,点击投稿,我们等着你。

我要投稿