原文地址:http://drops.wooyun.org/web/3801 0x00简介 1 说起clickjacking，很多人其实都不知道是干嘛的。比起XSS来说，clickjacking显得比较神秘，乌云漏洞库里面的相关的漏洞也不到10条而已。 2 瞌睡龙之前发过一篇clickjacking的技术文档，主要是介绍clickjacking出现的原因，以及防御的方法…继续阅读 »

原文地址:http://drops.wooyun.org/papers/3459 0x01 漏洞简介 Cisco ASA Software的部分管理接口在身份认证时存在验证逻辑问题，导致攻击者可以绕过身份认证，实现未授权操作。 0x02 漏洞原理 默认情况下，ASA的管理接口通过basic auth+cookie的方式进行认证，如下图： （更多……继续阅读 »

原文地址:http://drops.wooyun.org/news/1205 （更多…）

原文地址:http://drops.wooyun.org/tips/2423 0x01 前言： Charles是一款抓包修改工具，相比起burp，charles具有界面简单直观，易于上手，数据请求控制容易，修改简单，抓取数据的开始暂停方便等等优势！下面来详细介绍下这款强大好用的抓包工具。 0x02 下载与安装 首先是工具下…继续阅读 »

原文地址:http://drops.wooyun.org/papers/679 0x00 背景 大家好，我们是OpenCDN团队，专注于CDN技术的开发和研究。 首先，为了对CDN进行攻击，我们必须清楚CDN的工作原理，这里我们再来简单介绍一下CDN的工作模型。 （更多…）

原文地址:http://drops.wooyun.org/tips/7828 0x00 译者前言 本文翻译自：http://resources.infosecinstitute.com/cbc-byte-flipping-attack-101-approach/ drops里的相关主题文章：使用CBC比特反转攻击绕过加密的会话令牌 缘起是糖果出的一道题，看到原文作者对这一问题阐述的较为详细，虽然时间有些久…继续阅读 »

原文地址:http://drops.wooyun.org/tips/8209 From:https://www.fireeye.com/blog/threat-research/2015/08/another_popular_andr.html 0x00 前言 很多流行的Android应用都泄露了隐私数据。我们发现另一款流行的Google Play应用，“Camera 360 Ultimate”,不仅对用户的照片进行了优化，但也不经意间泄露了隐私数据，可…继续阅读 »

原文地址:http://drops.wooyun.org/tips/845 0x00 背景 本文来自于《Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters》其中的bypass xss过滤的部分，前面有根据WAF特征确定是哪个WAF的测试方法给略过了，重点来看一下后面绕xss的一些基本的测试流程，虽说是绕WAF的，但这里还是根…继续阅读 »

原文地址:http://drops.wooyun.org/tips/11804 0x00 前言 上一次我们对McAfee Application Control做了测试，这次接着对另一款白名单工具Windows AppLocker进行测试，分享一下其中的攻防技术。 （更多…）

原文地址:http://drops.wooyun.org/tips/7883 PS.之前一直想把零零碎碎的知识整理下来，作为知识沉淀下来，正好借着wooyun峰会的机会将之前的流程又梳理了一遍，于是就有了下文。也希望整理的内容能给甲方工作者或则白帽子带来一些收获。 0x00 概述 随着网络安全越来越受到重视…继续阅读 »