NEWS.ALL
Ruizhao's News Reader

Browsing Category : FreeBuf

简单搜索与那些“纯净版”应用们

5月26日,百度董事长兼CEO李彦宏在2018中国国际大数据产业博览会上发表了演讲《为了一个更美好的AI时代》。李彦宏表示,对于百度搜索业务因竞价医疗广告等,“简单搜索,永远没有广告”,其中,“简单搜索”是百度搜索在2017年7月开发和上线的APP。

对于一家以竞价排名和广告作为主要营收渠道的公司来说,这一决定实属不易,也迎来了网友们一致的叫好声。

简单搜索

笔者也下载了简单搜索app进

2018-06-21         FreeBuf

加密货币2018大事记 | 你来偷,他来抢,币圈是否真的无宁日?

这个夏天,也许混在安全圈的你不知不觉成了一名“菊外人”,但你肯定不会是一名“圈外人”。自 2009 年世界上第一个比特币区块链诞生以来,各种加密货币纷纷涌现,2017 年“炒币”风暴席卷全球,以比特币为主的加密货币大火,引发了全网加密货币的热潮。各路人马纷纷

2018-06-21         FreeBuf

BUF早餐铺 | 部分Windows 7旧设备已无法获取更新和安全补丁;OpenBSD出于安全考虑禁用Intel CPU超线程;以太坊线重大漏洞,或将导致Token供应量增发

各位  Buffer 早上好,今天是 2018 年 6 月 21 日星期四,农历五月初八。今天份的 BUF 早餐内容主要有: 部分Windows 7旧设备已无法获取更新和安全补丁;OpenBSD出于安全考虑禁用Intel CPU超线程;以太坊线重大漏洞,或将导致Token供应量增发;交易所Bithumb被盗350亿韩元加密货币,已暂停存款; ZeroFont技术使得钓鱼邮件绕过office 365安全过滤。

安全资讯早知

2018-06-21         FreeBuf

挖洞经验 | 看我如何发现Chrome浏览器阅读辅助插件SOP绕过漏洞

 看我如何发现Chrome浏览器阅读辅助插件SOP绕过漏洞

本文讲述的是作者发现谷歌浏览器Chrome阅读辅助插件(Read&Write Chrome extension)1.8.0.139版本同源策略(SOP)绕过漏洞的过程。该漏洞在于Read&Write插件缺少对正常交互网页请求源的安全检查,导

2018-06-20         FreeBuf

在Linux中使用环境变量进行提权

在这篇文章中,我将会为大家介绍一些使用环境变量进行Linux提权的方法,包括在CTF challenges中使用到一些的技术。话不多说,让我们进入正题!

介绍

PATH是Linux和类Unix操作系统中的环境变量,它指定存储可执行程序的所有bin和sbin目录。当用户在终端上执行任何

2018-06-20         FreeBuf

InvisiMole:潜伏已久的间谍

今天为大家介绍InvisiMole的两款恶意组件的操作方式。 他们会将受影响的计算机变成摄像机,让攻击者可以得知受害者的办公室发生的事情或者获取设备的位置。 InvisiMole的操控者能够擅自访问该系统,密切监控受害者的活动并窃取受害者的隐私。

我们的监测数据表明,该恶意软件背后的操控者至少在2013年以来

2018-06-20         FreeBuf

威胁预警 | KillDisk最新变种袭击银行系统

一、背景介绍

国外某安全厂商捕获到了一例KillDisk最新的变种样本,此样本已经感染了国外某家银行系统,数千台电脑及服务器系统被破坏,导致银行的SWIFT转帐系统无法正常使用。

KillDisk是由一个叫[TeleBots]的黑客团伙开发的,是一款破坏性的恶意程序,它专门用于擦除受害者硬盘上的文件,最近几年发展

2018-06-20         FreeBuf

剪贴板幽灵瞄准虚拟货币,出师不利1个月亏损4000万?

一、木马概述

360安全中心近期监控到一类虚拟货币类木马非常活跃,该木马不断监控用户的剪贴板内容,判断是否为比特币、以太坊等虚拟货币地址,然后在用户交易的时候将目标地址修改成自己的地址,悄悄实施盗窃,我们将其命名为“剪贴板幽灵”。该木马通过感染性病毒,木马下载器,垃圾邮件在全球范围传播,国内也有大量用户受到影响。

二、木马分析

我们以样本md5:f73731731b6503dc326bd922204

2018-06-20         FreeBuf

2亿苹果用户的魔咒,博彩短信背后的黑产王国

“澳门威尼斯赌场、在家斗地主月赚100万不是梦、日本女优成人直播网、准到没庄家……”这些内容,大家一定都不会陌生,比如,部门小姐姐们就表示深受其扰……  

但是除了删除、报告垃圾短信,甚至关闭iMessage外,似乎拿它没太多办法。然而,谁会想到,这些垃圾短信背后,却藏着一条巨大的黑色产业链……

如果大家对上面亚裔澳门

2018-06-20         FreeBuf

“安全+”沙龙第八期—杭州站 | 6月22日

“安全+”确定于2018年6月22日(周五)在杭州市举办第8期沙龙。本次活动是继第七期“安全+”沙龙深圳站之后举办的又一次线下讨论沙龙,届时约有40位左右来自于各行业的企业信息安全负责人、安全专家出席本次沙龙。

报名链接: https://www.bagevent.com/event/1519380       

沙龙议程

微信截图_20180620105358.png

参会咨询, 媒体合作:

联系人

2018-06-20         FreeBuf

BUF早餐铺 | 黑客试图利用Fortnite虚假安卓应用诱骗用户;广东摧毁全国首例“呼死你”黑灰产业团伙;前CIA雇员被指控向维基解密泄露黑客攻击工具

各位  Buffer 早上好,今天是 2018 年 6 月 20 日星期三,农历五月初七。今天份的 BUF 早餐内容主要有:黑客试图利用Fortnite安卓应用感染设备;厂商为392款相机补上了7个漏洞;前CIA雇员被指控向维基解密泄露黑客攻击工具;广东摧毁全国首例“呼死你”黑灰产业团伙;macOS“快速查看”存在 Bug,缩略图缓存会泄露加密数据。

安全资讯早知道,两分钟听完最新安全快讯~

egg-1615790_960_720.jpg

【终端安全】 黑客试图利用Fort
2018-06-20         FreeBuf

WPScan使用完整攻略:如何对WordPress站点进行安全测试

严正声明:本文仅限于技术探讨,严禁用于其他目的。

写在前面的话

在这篇文章中,我将告诉大家如何使用WPScan来对WordPress站点进行安全测试。

WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用PHP编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。最

2018-06-19         FreeBuf

挖洞经验 | 看我如何发现价值$3000美金的Facebook视频缩略图信息泄露漏洞

本文我要分享的是我的一个$3000美金Facebook漏洞发现过程。在我决定对Facebook网站进行安全测试之后,我熟读了很多相关的漏洞发现writeup,发现Facebook对有效漏洞的赏金程度还算可观,于是乎,我就给自己制订了几个相关的Facebook网站目标,看看能否在其中发现一些有意思的问题,挖掘出实质性的漏洞来。

01.png

发现端倪

经过一些研究之后,一个名为Canvas的Facebook交互式广告功能引起了我的注意。基于这

2018-06-19         FreeBuf

工业控制系统(ICS)安全专家必备的测试工具和安全资源

工业控制系统(ICS)安全专家必备的测试工具和安全资源

工业控制系统(ICS)通常被安全行业用来测试网络和应用中的漏洞。在这里,您可以找到综合工业控制系统(ICS)工具列表,其中包括在所有企业环境中执行渗透测试操作。

工业管理系统(ICS / SCADA)现在是网络攻击者的主要目标,这些攻击者试图破坏生产基地和公共设施

工业控制系统(ICS)工具 CSET 网络安全评估工具(CSET®)协助组织保护其关键的国家网络资产。这个工具
2018-06-19         FreeBuf

技术讨论 | NjRAT通过base64编码加密混淆Code免杀绕过360杀毒实验

* 本文作者:艾登——皮尔斯,本文属FreeBuf原创奖励计划,未经许可禁止转载

这篇文章鄙人我主要是教大家如何加密免杀国外NjRAT生成的客户端,以达到逃避360杀软检测目的,希望各位Freebuf小粉喜欢。此文章仅用于教育目的,切勿用于非法攻击使用,出现一切法律纠纷与作者无关,全由使用者承担。

image.png

介绍

NjRAT也称为Bladabindi  ,是一种远程访问木马 ,允许程序持有者通过文件

2018-06-19         FreeBuf

奇淫巧技之“换个姿势”看直播

*本文原创作者:scu-igroup,本文属FreeBuf原创奖励计划,未经许可禁止转载

前言

近几年网络直播很火,各种漂亮的网红小姐姐层出不穷,看网络直播也成为年轻人的生活常态。而我们屋年轻的师弟们根本没有抵抗力,平时穿插于各类网络直播平台,献上了他们宝贵的茶余饭后的时间。可是,问题来了,有些直播平台很讨厌啊,看个直播老是弹窗口怎么办呢?看着师弟困惑与渴望的小眼神,好吧,我们来分析一把。

正文

事情是这样的,师弟最近发现一

2018-06-19         FreeBuf

APP漏洞赏金项目之安卓APP应用程序测试(一)

xxxxxx.png

两个月以前,我在ITsec公司开始了我大学最后一年的实习生涯。ITsec是一家全方位的信息安全评估公司,我的实习工作就是开发一个以供公司内部使用的安卓APP。通常,我在检查程序Bug时总是会把关注点放在Web层面,而忽视了安卓APP的安全问题。所以,经过我一段时间针对安卓应用的安全研究之后,有所收获,简单写在这里和大家分享。

这里最直接的方式就是通过一些漏洞众测网站来学习,如 Hackerone 和&nbs

2018-06-18         FreeBuf

继美国、荷兰之后,欧洲议会决定禁用卡巴斯基产品

近日,欧洲议会以476票赞成和151票反对通过了网络防御动议(A8-0189/2018),呼吁欧盟审查其机构使用的软件、IT和通信设备以及基础设施,以排除潜在的危险程序和设备,并禁用那些已被确认为恶意的程序和设备,例如来自卡巴斯基实验室的恶意程序和设备。

129425-Kaspersky.jpg

卡巴斯基遭遇“禁用危机”

这对于卡巴斯基而言无疑是一个坏消息。据悉,欧洲议会

2018-06-18         FreeBuf

SPN服务主体名称发现详解

Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN),则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后,客户端计算机使用该票证来访问网络资源。在内部网络中,SPN扫描通过 查询向域控制器执行服务发现。这对于红队而言,可以帮助他们识别正

2018-06-18         FreeBuf

RCTF 2018 Magic题目详解

背景&摘要

此题来自 RCTF 2018 的一道逆向题目 magic. 赛后分析许久, 看了几个 writeup, 但是始终不得要领, 大神们寥寥数语, 扔下一堆代码, 就搞定问题. 也理解这寥寥数语, 毕竟比赛的时候时间紧张, 做出题目后就开始下一道了, 而赛后, 大多也会因为一些乱七八糟的事情不再去整理题解. 最终在网上留下的就是一份草稿版题解, 对于新手, 实在是难. 此文从六月一号开始写, 中间各种事情, 一直拖着, 直到六

2018-06-18         FreeBuf