漕河泾小黑屋
[阅读随笔] 加密支付巨擘的阿克琉斯之踵
The art of deception.
分析了来自小飞机的20亿数据,最受欢迎的密码竟然是!?
上周,HIBP 创始人Troy Hunt发布博客,揭示收到匿名研究员提供的1.51亿新泄露邮件数据,来自518个小飞机频道,主要由信息窃取恶意软件捕获。
小黑屋自产自销的两款小工具
推荐两款小工具
再谈 IP 伪造
最近刚好看到一段视频,讲述关于 IP 伪造的内容。视频中并没有具体描述如何进行的 IP 伪造。借此机会,小黑屋来唠唠伪造 IP 的几种常见方式。
Web 3 与 Tor
最近小黑屋有个大佬写了篇硬核安全技术文章。不过由于内容比较敏感,没敢发出来。 刚好小黑屋好久没更新了,就找了篇去年写的文章,滥竽充数。 内容嘛,主要还是针对 Web 3 的
关于疫情,忍不住要说几句
我的三年红队生涯总结
我的三年红队生涯总结在公司的某天有幸帮助公司的一级部门去给某学院的学生分享了一堂课,主要是关于自学安全的话题
通过动态链接库绕过反病毒软件Hook - Break JVM
通常情况下获得Java Webshell碰到数字杀毒的场景居多,在这个环境中经常会遇到无法执行命令或命令被拦截的情况,很多小伙伴遇到这个问题就劝退了,我猜测是有一套进程链的检测方式导致了命令无法执行.....................
DevKit系列1 - 可靠的 HTML 富文本过滤器
使用 DFA 实现一个安全、可靠的 HTML 富文本过滤器。
今天不谈技术,只喷人
作为非安全圈(主要是门槛不够,进不去)非著名喷子,今天不谈技术,不谈漏洞,回归喷子本质。
Electron 的一些调试技巧
调试 Electron、CEF 等应用
利用 URN 绕过 URL 检查
前言最近痴迷于看 RFC 及各类规范文档,从中发现一些有趣的利用。
Windows 安装OpenSSH服务端
SSH 是常见远程管理工具,常见于linux机器,windows 也能安装ssh服务利用场景:控制目标机器,
邮箱信息收集
前言web 无法撕口子咋办?钓鱼呗, 钓鱼作为常用渗透手段,本篇文章主要分享一些邮箱信息收集手法。请勿用于非法用途
分享一个SQL Server安全评估工具-SqlKnife
内网SQL Server数据库安全检测工具
从github 获取域名信息
场景: 从github 代码中挖掘爬虫手段难以爬取的url, 调用:grep.app 接口
利用 multipart boundary 绕过 WAF
通过 RFC 2231 协议自身绕过 WAF 的防护。本质上是利用了 WAF 和 服务端 的协议解析差异。
水泽-信息收集自动化工具
今天分享一款红队的信息收集、漏洞探测的集成化工具
一个充满牛鬼蛇神的小黑屋
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)