序•魔戒再现几天前,OpenSSL官方宣布即将发布的新版本 (OpenSSL 1.1.1) 将会提供 TLS 1.3 的支持,而且还会和之前的 1.1.0 版本完全兼容,这当然是个好消息。如果说 HTTP/2 是当前互联网 Web 发展的讨论热点之一…
月度归档: 2017年5月
如何用短信完成XSS?
Verizon Messages(Message+)是Verizon推出的一款开放跨平台信息交换应用程序,它允许用户在更多的无线设备中交换和共享信息。目前,该软件客户端支持跨平台使用,包括移动设备、桌面设备和Web端,并提升了VZW文字…
来源: 如何用短信完成XSS?
一加手机OTA相关漏洞分析与利用
介绍本文我们为大家准备了从一加手机1/X/2/3/3T OxygenOS 及 HydrogenOS中发现的漏洞,最新版本(4.1.3/3.0)及以下版本皆受影响。该漏洞允许攻击者以中间人劫持方式介入OTA升级过程,对OxygenOS/HydrogenOS版本进行…
来源: 一加手机OTA相关漏洞分析与利用
如何高效利用你所“劫持”的HTTP会话?
*本文原创作者:addadd,本文属FreeBuf原创奖励计划,未经许可禁止转载HTTP会话劫持HTTP是无状态的协议,为了维持和跟踪用户的状态,引入了Cookie和Session,但都是基于客户端发送cookie来对用户身份进行识别,所…
如何通过IE11浏览器跨域窃取CSV文件信息(含演示视频+PoC)
写在前面的话早在2008年,Chris Evans就发现了通过在标签中添加恶意参数来跨域窃取Firefox数据的可能性。如果你感兴趣的话,你现在仍然可以阅读当初他所发表的那篇研究报告【传送门】。…
如何使用谷歌Chrome浏览器窃取Windows密码
写在前面的话 利用Windows操作系统的SMB文件共享协议来窃取身份凭证的攻击技术长久以来都一直存在,这是一个难以避免的问题。虽然这种技术有多种实现方式,但大多都局限于本地网络内。在过去的十多年里,还没…
IEEE802.11w无线安全协议剖析
基于大数据和机器学习的Web异常参数检测系统Demo实现
惠普电脑内置键盘记录器?可窃取账号密码等敏感用户信息
你在使用惠普电脑吗?如果答案是肯定的,那么请小心了,你的音频驱动程序可能会存储你的击键记录,甚至泄露你的重要信息。日前,瑞士安全公司Modzero的安全研究员Thorsten Schroeder发现,许多惠普笔记本电脑和平…
WHID Injector:将HID攻击带入新境界
HID Attack是最近几年流行的一类攻击方式。HID是Human Interface Device的缩写,意思是人机接口设备。它是对鼠标、键盘、游戏手柄这一类可以操控电脑设备的统称。由于电脑对这类设备缺少严格的检测措施,只是简单…