2016年 第22周 微信公众号精选安全技术文章总览

    洞见网安 2016-5-30

    0x1 技术|如何使用XSSaminer工具在PHP源码中挖掘XSS漏洞

    安全张之家 2016-06-04T10:01:25

    Example Image


    当想要在服务器的开source脚本代码中发掘跨站脚本漏洞时,使用静态分析方法可以使我们的分析过程变得更加简单

    0x2 漏洞|利用私有DNS,“查找我的 iPhone”可被轻松绕过

    安全张之家 2016-06-01T11:46:22

    Example Image


    本文详细介绍了如何绕过iPhone的“寻找我的iPhone”功能,通过建立私人DNS服务器和代理服务器来阻止iCloud流量,使得即使手机丢失,也不会被锁定或追踪。文章指出,这种方法适用于所有版本的iPhone,包括未来更新的版本。作者提供了具体的操作步骤和演示,并讨论了该漏洞难以修补的原因。同时,文章也提到了苹果公司的一些保护措施,如密码锁和指纹锁,以及用户在使用iCloud时应注意的安全问题,如邮箱密码保护和开启“寻找我的iPhone”功能的重要性。

    0x3 资讯|“SandJacking”攻击:在未越狱的 iOS 设备上安装恶意应用

    安全张之家 2016-06-01T11:46:22

    Example Image


    在HITB 2016 会议中,Mi3 Security公司的安全研究员Chilik Tamir发表了一个关于

    0x4 wifislax中的linset软件钓鱼教程

    Linux网络安全 2016-06-01T10:51:24

    Example Image


    本文介绍了使用wifislax系统中的linset软件进行WiFi钓鱼攻击的教程。文章首先简要说明了为何使用U盘启动wifislax系统,因为只有这样才能识别网卡,进行WiFi钓鱼。接着详细描述了如何扫描WiFi信号、选择目标WiFi、开始钓鱼攻击的过程。钓鱼攻击的原理是通过捕获目标WiFi的握手包,然后创建一个不带密码的相同名称的WiFi,诱使用户连接。文章还提到了钓鱼攻击的具体步骤,包括抓取握手包、匹配密码、以及如何通过DHCP报文和客户端显示窗口监控攻击过程。最后,文章提醒选择使用人数较多的AP进行钓鱼,并建议在上网高峰期进行攻击以提高成功率。

    网络安全钓鱼攻击 无线网络安全 KALI Linux 工具使用教程 实战技巧

    0x5 “SandJacking”攻击:在未越狱的 iOS 设备上安装恶意应用

    天创培训 2016-05-31T17:36:36

    Example Image


    在HITB 2016会议上,安全研究员Chilik Tamir揭示了名为“SandJacking”的攻击方式,该攻击利用iOS系统中的一个未打补丁的漏洞,在未越狱的iOS设备上安装恶意应用。由于iOS应用运行在沙箱中,任何沙箱中的数据泄露都可能带来严重后果。攻击者通过苹果的开发者证书安装恶意软件,绕过了苹果的审查机制。Tamir展示了如何使用Su-A-Cyder工具创建恶意应用的快速版本,该工具能够在目标设备连接计算机时替换合法应用。尽管苹果在应用安装过程中进行了打补丁,但在恢复过程中存在漏洞,攻击者可以通过备份和恢复过程来安装恶意应用。Tamir强调,尽管恶意应用只能访问应用沙箱,但攻击者可以为每个目标应用程序创建恶意版本。这一漏洞在2015年12月被发现,并在次年1月报告给苹果,但苹果尚未发布补丁。

    iOS 安全漏洞 恶意软件 沙箱攻击 应用签名 逆向工程 移动安全 代码签名验证 备份攻击 隐私泄露

    0x6 《VEDA主张》第十一期:利用暴露的GIT目录下载一个应用的完整源代码

    VEDA卫达信息 2016-05-31T17:24:02

    Example Image


    本文主要介绍了如何通过利用暴露的GIT目录下载一个应用的完整源代码。文章首先解释了在渗透测试中使用dirbuster工具寻找敏感文件和目录的普遍性,并说明了dirbuster的工作原理。接着,文章指出.git文件是源代码管理系统的一部分,其暴露在互联网上可能是由于配置错误或管理员疏忽。作者通过wget工具递归下载了整个源代码库,并解释了.pack文件的作用。文章还提到了在使用Git时遇到的问题,如HTML索引文件的下载,以及如何解决这些问题。最后,文章强调了获取源代码的潜在影响,包括获取敏感信息、增加攻击面和发现潜在漏洞,并提出了修复建议,如禁止列目录、配置mod_write或设置严格的权限。

    Web安全 渗透测试 源代码泄露 Git安全 自动化工具 安全修复 漏洞分析

    0x7 Kali liunx下搭建钓鱼WIFI

    Linux网络安全 2016-05-31T10:15:58

    Example Image


    本文介绍了在Kali Linux下搭建钓鱼WIFI的详细步骤。首先,作者说明了由于个人原因长时间未更新内容,并提供了联系方式。接着,文章详细描述了安装isc-dhcp-server的步骤,包括命令行安装和配置文件修改。如果安装失败,作者提供了下载附件并替换source.list文件的解决方案。然后,文章指导读者如何使用airmon-ng启动虚拟机中的USB网卡,并通过执行特定的命令进行网络监控。最后,文章提供了一个可执行的脚本,用于启动钓鱼WIFI,并提示读者如何测试搭建的WIFI网络。此外,文章还提供了附件下载链接和QQ群信息,以便读者获取更多教程和技术支持。

    网络钓鱼 无线安全 Kali Linux DHCP服务器 脚本攻击 虚拟机 网络安全教程

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。