纵深防御这个在安全行业被用的很烂的词,乙方的顾问写方案时信手捏来,我想大家的理解可能并不一致。其实我比较赞同lake2用的“河防”以及数字公司用的“塔防”的概念,这些都是比较贴近实际的。下面的篇幅仅从...
深入理解hash长度扩展攻击(sha1为例)
0×01 引言为什么会想到这个呢?上周末做了“强网杯”的童鞋们应该都能知道吧,它其中有个密码学的题目就是考的这一点。0×02 sha1的hash原理说到要解释sha1的原理其实是非常复杂的,反正我这种...
FreeBuf公开课:轻松的方式科普什么是SQL注入攻击(第三集)
之前“安全科普系列”FreeBuf公开课作者weird0(怪蜀黍)收到了很多大家的意见或者建议,也了解到课程有很多不足的部分。在闭关修炼数周之后,作者在大家的期盼中继续带领大家进行下面的课程。本期目...
Stay hungry, Stay foolish 的原义
乔布斯在斯坦福大学毕业演讲中说过,他最喜欢的一句话叫做\"Stay hungry, Stay foolish\"。\"Stewart和他的人出了好几期《地球产品目录》(Whole Earth Cata...
黑客教你如何在微信强制诱导分享营销广告还不被封!
0x00 前言(图:不被微信封,是做微信营销和微商的终极梦想之一)这年头,发广告诱导强制分享不是事儿,发广告诱导强制分享还不被微信封才是真事儿。据说这套黑客宝典能让张小龙梦碎,能让微商实现我的梦,营销...
GitHub账户被黑:旧漏洞导致弱密钥大量留存
又见历史原因导致的安全隐患在七年前开发人员发现GitHub存在一个灾难性的漏洞之后,GitHub已经关闭了数量不明的通过密钥访问的账户。Github允许授权用户登录到隶属于Spotify、Yandex...
关于黑客你不知道的事儿:黑客人数最多的是处女座
FreeBuf黑客与极客联合GeekPwn发起“中国黑客生存状况调查”现已新鲜出炉,调查结果勾勒出大众对“白帽黑客”人群及安全从业者的双方认知的异同。在整理调查数据时发现,小白眼中的黑客是这个样子的,...
能量墙与家庭电厂
去年下半年,《财新周刊》缺一个专栏作者,问我写不写。我就写了,到现在也有八、九篇文章了。大多数时候,搜索枯肠,还是写得不满意。因为从来没写过,也不知道如何在1500+字里,向大众介绍技术问题。下面这篇...
IE安全系列:脚本先锋(IV)—网马中的Shellcode
脚本先锋系列第四章,也是最后一章。将介绍对Shellcode的调试,以及SWF、PDF漏洞的利用文件的简单处理过程。下一部分预告:IE安全系列:中流砥柱(I) — JScript 5 解释器处理基本类...
打脸事件:卡巴斯基遭APT攻击长达数月未察觉
Duqu2.0是现今为止最为复杂的蠕虫,广泛应用于各种APT攻击事件中。全球知名网络安全公司——卡巴斯基实验室经常会披露各机构遭APT攻击,但是这次却亲身感受了下,且被攻击长达数月未察觉。FreeBu...