JSshell：一款针对XSS漏洞的JavaScript反向Shell

JSshell是一个JavaScript反向Shell工具，该工具可以帮助广大研究人员远程利用XSS漏洞或扫描并发现XSS盲注漏洞。当前版本的JSshell支持在Unix和Windows操作系统上运行，并且同时支持Python2和Python3。跟JShell（一款由s0med3v开发的通过XSS漏洞获取JavaScript反向Shell的工具）相比，这是一个非常大的更新，而且JSshell还不需要Netcat的支持，这一点跟其他的JavaScript Shell也有很大的区别。 工具下载 广大研究人员可以使用下列命令将JSshell项目源码克隆至本地： git clone https://github.com/shelld3v/JSshell.git 工具使用 生成JS反向Shell...

4d

开源软件安全性研究：流行的开源项目中漏洞数量在2019年翻了一倍

近期，安全专家们对目前最热门的54个开源项目进行了分析和研究，并且发现这些开源工具中存在的安全漏洞数量在2019年翻了一倍。因为2018年相同开源项目中的漏洞仅为421个，而在去年这些项目中的漏洞数量激增为了968个。 根据RiskSense近期发布的《The Dark Reality of Open Source》报告，RiskSense的安全研究专家在2015年至2020年3月份之间，在当前热门的开源项目中总共发现并报告了2694个安全漏洞。但是，这份报告中并没有涵盖类似Linux、WordPress、Drupal等非常热门的免费工具或项目，因为这些项目是经常被安全人员监控着的，这些项目中一旦出现了安全漏洞，也会在很短的时间内得到修复。 但是，RiskSense关注的是其他热门的开源项目，相比上述的开源项目来说，这些项目的关注度并没有那么高，但是它们仍然被技术社区和软件社区所广泛使用，比如说Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。...

4d

Mybatis框架下SQL注入审计分析

前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一，在java中随着预编译与各种ORM框架的使用，注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧，不知如何下手，希望通过Mybatis框架使用不当导致的SQL注入问题为例，能够抛砖引玉给新手一些思路。 一、Mybatis的SQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面，更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时，MyBatis支持两种参数符号，一种是#，另一种是$。比如： <select id="queryAll" resultMap="resultMap">...

4d

DEDECMS伪随机漏洞分析 (三) 碰撞点

一 、本篇 本文为“DEDECMS伪随机漏洞”系列第三篇，查看前两篇可点击链接： 第一篇：《DEDECMS伪随机漏洞分析 (一) PHP下随机函数的研究》 第二篇：《DEDECMS伪随机漏洞分析 (二) cookie算法与key随机强度分析》 根据第二篇,我们有信心去遍历root key的所有可能, 但是我们还需要一个碰撞点, 才能真正得到root key的值, 本篇找到了两个碰撞点, 并编写了简单的POC来获取root key. 二 、碰撞点 可能还存在其他碰撞点, 这儿仅找到两个: ) 1.用户主页 1.1 限制条件(中) 要求开启会员功能 1.2 代码分析 1.3 获取方法 请求:(查看admin主页) url+/member/index.php?uid=admin...

4d

美联储为你提供了一份针对合成身份类的防诈骗指南

合成身份式网络诈骗是什么? 近日，美联储发布了一项新的“防诈骗”指南，以帮助民众和信贷机构识别免“合成身份类型”的支付诈骗。在这份白皮书之前，美联储已经发布了两篇有关定义和检测此类支付诈骗的白皮书。 创建合成身份的方法，主要是通过将真实信息（例如身份证号）和假信息（姓名，出生日期和地址）结合在一起。这样一来，犯罪者就可以借此创建一个新帐户，并使其保持良好的信誉状态。 美联储解释说，这种方法为犯罪者提供了充足的时间来建立身份和信用史。这就能让他在“破产”之前有足够的借贷或支出能力。  “与传统的身份诈骗相比，使用合成身份账户进行诈骗时，犯罪者会伪装得更像普通客户，因为他们会在前期积累一定的信用值。”美联储表示。 近年来，合成身份式支付诈骗是美国增长最快的金融犯罪类型，许多信贷企业损失惨重。...

6d

腾讯和老干妈间不得不说的故事

最近小编的快乐源泉来自于腾讯和老干妈之间不得不说的故事，国民女神老干妈、互联网大厂腾讯，1642万元，这几个关键词就足以引发大家的好奇，消息一经公布，便火速登上热搜榜。 来给大家缕一缕这个网络诈骗事件的时间线，故事的开篇：6月29日，中国裁判文书网显示，贵阳南明老干妈风味食品有限责任公司新增一则裁判文书，原告为深圳市腾讯计算机系统有限公司，案由为服务合同纠纷。 民事裁定书显示，原告提出财产保全的申请，请求查封、冻结被告贵阳南明老干妈风味食品销售有限公司、贵阳南明老干妈风味食品有限责任公司名下价值人民币16240600元的财产。 法院认为，原告的申请符合法律规定，裁定查封、冻结被告贵阳南明老干妈风味食品销售有限公司、贵阳南明老干妈风味食品有限责任公司名下价值16240600元的银行存款或查封、扣押其等值的其他财产。...

6d

新型勒索软件Tycoon出现

研究人员近期发现了针对软件行业与教育行业的 Tycoon 勒索软件正在展开行动，该勒索软件使用 Java 编写具备跨平台能力。 发现过程 黑莓和毕马威的研究人员表示，一种新型基于 Java 开发的勒索软件正在针对教育行业与软件公司展开有针对性的攻击。这种被称为 Tycoon 的恶意软件使用一种少见的 Java 映像格式来绕过安全软件。 毕马威英国网络响应服务团队最初在针对教育机构的攻击中发现该恶意软件。作为毕马威的合作伙伴，黑莓情报与研究团队针对这一威胁进行了深入的分析。分析人员称，自从 2019 年 12 月以来，Tycoon 勒索软件就一直都在活跃着，而且横跨 Windows 与 Linux 两大平台。与此同时，其受害者的数量是极为有限的，表明这很可能是有针对性的攻击。...

6d

水果博主骗局

人人都知道天下没有免费的午餐，但当人们真正遇到免费午餐时却难以**心中的诱惑。近期，社交平台出现了一群“水果博主”，主要利用用户爱贪小便宜的心理，通过“推广网店、水果丰收免费赠送”为由吸引用户加入群聊，之后利用人们网络兼职轻松赚钱的心理，以“帮农场APP提高人气和提升网店排名，筹备上架”为由诱导用户下载某款APP、充值做任务，从而一步一步套路用户大量充值金额，最后以各种理由推迟返款、提现对用户实施诈骗。 前两天刷微博的时候发现一群利用微博宣传免费送赠水果的博主，抱着好奇的心态便关注了其中一位博主，并按照他的要求进入了一个群聊，群主在福利一：免费赠送水果的掩饰下引导用户下载一个叫“农场聊吧”APP做任务返佣金。当时意识到了这是个骗局，遂在网上搜了搜，果然不少用户已被骗取了大量金钱。 图1-1...

6d

OllyDbg之脚本学习笔记

首先，OllyDbg的脚本功能是基于一款OD的插件的，也就是说这是OD的插件对OD的功能的扩展。插件的名称就叫做Odbgscript。 其次，OD的脚本语言的特点： • 是一种类似语言特点：类汇编语言，也就是说操作指令是类似与mov，add之类的指令。 • 变量要求：事先使用VAR关键字声明 • 寄存器使用：仅支持32位，可通过移位等操作获取低位数据 • 数据表示：使用十六进制，不需前/后缀 • 地址引用：使用“[]”，支持立即数和寄存器 • 标志位表示：使用!前缀，如!ZF、!CF • 注释方法：//　或 /* ……　*/ • 行标号： SOME_LABEL:  将样本文件拖入OD，F9运行，观察程序的执行结果。 点击开始闯关，会出现一个新的窗口，让我们输入flag进行验证。只有验证成功，才能点击下一关的按钮。...

6d

FreeBuf早报｜黑客勒索2万3千个MongoDB数据库；美联储分享缓解合成身份欺诈的技巧

全球动态 1.美联储分享缓解合成身份欺诈的技巧 欺诈者在将真实信息（例如社会安全号码）和假信息（姓名，出生日期和地址）组合在一起，便创建了综合身份。然后，它们被用来创建可能躲避无效重复检测模型的新帐户，，这些帐户可能被认为是信誉良好的帐户持有人。而美联储发布了有关美国金融机构如何缓解利用综合身份账户进行的欺诈行为的指南。[外刊- 阅读财经] 2.黑客勒索2万3千个MongoDB数据库，并威胁要与GDPR规范联系 黑客入侵了22900个MongoDB数据库，备份并重组了相关数据内容，要求48小时内支付0.015比特币（约合140美元）来进行恢复。据悉，被入侵的数据库大约占所有MongoDB在线访问数据库的47％。[外刊- 阅读财经] 3.印度命令ISP屏蔽被禁止的中国应用 印度空军以“威胁主权和完整为由”宣布封杀59个中国应用，周二公布了具体的封锁措施，命令ISP屏蔽了这些应用的访问。据报道，印度电信部表示，互联网运营商应“立即阻止”访问这些应用程序及其网站，并警告称，如果不这样做，将采取法律行动。[...

6d