本文讲述了作者以邮件登录服务为突破口，利用其中的Zimbra应用功能和邮件端口配置bug，可以对目标邮件服务端执行流量转发设置（SSRF），实现对所有登录用户的明文凭据信息窃取。 背景介绍 Cafeb...

A 高级持久威胁（APT） 一种网络攻击，使用复杂的技术持续对目标政府和公司进行网络间谍活动或其他恶意活动。通常由具有丰富专业知识和大量资源的对手进行-通常与民族国家参与者相关。 这些攻击...

背景 记得之前遇到使用SHA256withRSA对请求体进行签名附加到自定义head中的web应用，当时是使用python编写了签名脚本，然后就开始了痛苦的burp与命令行的不断切换与复制粘贴工作......这效率，...

CVE-2014-0160 Heartbleed 漏洞 攻击者可以追踪 OpenSSL 所分配的 64KB 缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容，这样一来受害者的内存内容就会以每次 64KB 的速度进行泄...

当今社会物联网设备已经逐步渗透到人们生产生活的方方面面，为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高，物联网设备的安全性问题也逐渐影响到人们的正常生活...

IPv6全面部署已初有成效，同时安全相关问题也开始凸显，那么有关IPv6的安全合规将会是怎样的，我们不妨大胆去设想一下。本文会分别从政策层面、技术层面、网络安全层面进行讨论，主要出发点是企...

一. 基础 第一步 侦察 研究目标在互联网上的踪迹，监测资源，人和过程。扫描网络信息例如IP和系统类型，对公共服务例如服务支援中心和其他途径进行社会工程。开放的端口，托管的位置，提供给客...

在审查可疑网络活动时，经常遇到加密流量。大多数网站使用HTTPS协议，各种类型的恶意软件也使用HTTPS，查看恶意软件产生的数据对于了流量内容非常有帮助。本文介绍了如何利用Wireshark从pcap中...

物联网（The Internet of Things，简称IOT）是指通过 各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术，实时采集任何需要监控、 连接、互动的物体或过程...

全球动态1. 推特向开发者警示：私有应用密钥和账号令牌有暴露风险近日，推特向开发者发布电子邮件，警告称由于 BUG 他们的私有应用密钥和账号令牌可能已经被暴露。在这份邮件中，推特表示这些私...