原文地址:http://drops.wooyun.org/tips/2646 from:https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201407-Mayhem 0x01 简介 网站甚至整个服务器被感染越来越普遍。通常这种感染被用来窃听通讯，黑帽SEO，盗链下载，诸如此类。并且在绝大多数的案例中这种恶意软件由相对比较简单的PHP脚本组…继续阅读 »

原文地址:http://drops.wooyun.org/web/13124 0x00 背景 凭借乌云漏洞报告平台的公开案例数据，我们足以管中窥豹，跨站脚本漏洞（Cross-site Script）仍是不少企业在业务安全风险排查和修复过程中需要对抗的“大敌”。 XSS可以粗分为反射型XSS和存储型XSS，当然再往下细分还有DOM XSS, mX…继续阅读 »

原文地址:http://drops.wooyun.org/tools/1013 随着安全性问题变得越来越重要，密码当然是越安全越理想（比如多步认证）。 于是我最近就试用了几个安全密码管理器，试图找到一款比较安全，易于使用并且跨平台的应用软件。 （更多…）

原文地址:http://drops.wooyun.org/web/5048 0x00 背景介绍 请注意这两篇文章： 密码找回功能可能存在的问题 密码找回功能可能存在的问题（补充） 距离上两篇文档过去近半年了，最近整理密码找回的脑图，翻开收集的案例，又出现了一些新的情况，这里一并将所有见到的案例…继续阅读 »

原文地址:http://drops.wooyun.org/web/3295 0x00 背景介绍 以前看了一片密码找回漏洞的总结，现在又看到了一些新的情况，写出来补充一下。 链接：密码找回功能可能存在的问题 0x01 回顾 上篇文章中已有的7点如下： 1. 密码找回凭证太弱，容易被爆破 2. 密码找回凭证可…继续阅读 »

原文地址:http://drops.wooyun.org/papers/287 0x00 背景介绍 有人的地方就有江湖。 互联网中，有用户注册的地方，基本就会有密码找回的功能。 而密码找回功能里可能存在的漏洞，很多程序员都没有想到。 而这些漏洞往往可能产生非常大的危害，如用户账号被盗等。 并且这…继续阅读 »

原文地址:http://drops.wooyun.org/papers/2792 0x00 背景 之前一直看的是传统的系统安全问题，最近了解了下嵌入式设备的安全，颇有意思。 首先要从下面一个图说起： （更多…）

原文地址:http://drops.wooyun.org/papers/6045 0x00 序 随着移动安全越来越火，各种调试工具也都层出不穷，但因为环境和需求的不同，并没有工具是万能的。另外工具是死的，人是活的，如果能搞懂工具的原理再结合上自身的经验，你也可以创造出属于自己的调试武器。因此，笔者将…继续阅读 »

原文地址:http://drops.wooyun.org/tips/9300 0x00 序 随着移动安全越来越火，各种调试工具也都层出不穷，但因为环境和需求的不同，并没有工具是万能的。另外工具是死的，人是活的，如果能搞懂工具的原理再结合上自身的经验，你也可以创造出属于自己的调试武器。因此，笔者将…继续阅读 »

原文地址:http://drops.wooyun.org/tips/6840 0x00 序 随着移动安全越来越火，各种调试工具也都层出不穷，但因为环境和需求的不同，并没有工具是万能的。另外工具是死的，人是活的，如果能搞懂工具的原理再结合上自身的经验，你也可以创造出属于自己的调试武器。因此，笔者将…继续阅读 »