月度归档： 2017年5月

序•魔戒再现几天前，OpenSSL官方宣布即将发布的新版本 （OpenSSL 1.1.1） 将会提供 TLS 1.3 的支持，而且还会和之前的 1.1.0 版本完全兼容，这当然是个好消息。如果说 HTTP/2 是当前互联网 Web 发展的讨论热点之一…

来源： TLS 1.3如何用性能为HTTPS正名

Verizon Messages（Message+）是Verizon推出的一款开放跨平台信息交换应用程序，它允许用户在更多的无线设备中交换和共享信息。目前，该软件客户端支持跨平台使用，包括移动设备、桌面设备和Web端，并提升了VZW文字…

来源： 如何用短信完成XSS？

介绍本文我们为大家准备了从一加手机1/X/2/3/3T OxygenOS 及 HydrogenOS中发现的漏洞，最新版本(4.1.3/3.0)及以下版本皆受影响。该漏洞允许攻击者以中间人劫持方式介入OTA升级过程，对OxygenOS/HydrogenOS版本进行…

来源： 一加手机OTA相关漏洞分析与利用

*本文原创作者：addadd，本文属FreeBuf原创奖励计划，未经许可禁止转载HTTP会话劫持HTTP是无状态的协议，为了维持和跟踪用户的状态，引入了Cookie和Session，但都是基于客户端发送cookie来对用户身份进行识别，所…

来源： 如何高效利用你所“劫持”的HTTP会话？

写在前面的话早在2008年，Chris Evans就发现了通过在标签中添加恶意参数来跨域窃取Firefox数据的可能性。如果你感兴趣的话，你现在仍然可以阅读当初他所发表的那篇研究报告【传送门】。…

来源： 如何通过IE11浏览器跨域窃取CSV文件信息（含演示视频+PoC）

写在前面的话 利用Windows操作系统的SMB文件共享协议来窃取身份凭证的攻击技术长久以来都一直存在，这是一个难以避免的问题。虽然这种技术有多种实现方式，但大多都局限于本地网络内。在过去的十多年里，还没…

来源： 如何使用谷歌Chrome浏览器窃取Windows密码

IEEE 802.11协议规定无线帧包含数据帧、控制帧和管理帧三类，本文将详细剖析此无线安全协议。数据帧的任务是在工作站间传递数…

来源： IEEE802.11w无线安全协议剖析

一、前言如何在网络安全领域利用数据科学解决安全问题一直是一个火热的话题，讨论算法和实现的文章也不少。前段时间看到楚安…

来源： 基于大数据和机器学习的Web异常参数检测系统Demo实现

你在使用惠普电脑吗？如果答案是肯定的，那么请小心了，你的音频驱动程序可能会存储你的击键记录，甚至泄露你的重要信息。日前，瑞士安全公司Modzero的安全研究员Thorsten Schroeder发现，许多惠普笔记本电脑和平…

来源： 惠普电脑内置键盘记录器？可窃取账号密码等敏感用户信息

HID Attack是最近几年流行的一类攻击方式。HID是Human Interface Device的缩写，意思是人机接口设备。它是对鼠标、键盘、游戏手柄这一类可以操控电脑设备的统称。由于电脑对这类设备缺少严格的检测措施，只是简单…

来源： WHID Injector：将HID攻击带入新境界