原文地址:http://drops.wooyun.org/tools/601 在做渗透测试的时候，有时候会遇到一个wordpress博客，如果版本比较新，插件也没有漏洞的话，可以爆破用户名密码来尝试下。 大脑混沌情况下写的，有bug欢迎提出，由于是php的所以跑起来比较慢，下次发包还是调用命令结合hydra来爆破。 …继续阅读 »

原文地址:http://drops.wooyun.org/papers/14917 一种补卡攻击的套路全分析 Author:360天眼实验室 0x00 引言 人在做，天在看。 360天眼实验室经常性地处理各种网络诈骗，骗子们八仙过海，各显其能，懂技术的用技术，技术不行的就看套路。本文对一个网友的被骗经历揭密其背后的…继续阅读 »

原文地址:http://drops.wooyun.org/news/944 超过2000个Tesco.com账户因为泄露了用户名与密码，所以遭到黑客攻击而被迫暂停账号登陆。 美国时间上周四，有一份超过2000的Tesco.com网站用户的账号信息在互联网上被公开，可以进入上述商户的在线商城账号，并查看个人详细信息以及Tesco的…继续阅读 »

原文地址:http://drops.wooyun.org/news/1062 （更多…）

原文地址:http://drops.wooyun.org/tips/2073 0x00 背景 何为扫号（黑产术语），通俗讲就是拿别人网站的数据库，尝试当前想要破解用户账户的网站。 自从csdn的明文600万，到猫扑，天涯，多玩，7k7k等陆续爆出密码，扫号大军慢慢从地下逐步显现出来。已然成为当前账户安全的第一…继续阅读 »

原文地址:http://drops.wooyun.org/papers/736 大家好，我是OpenCDN团队的Twwy(@囧思八千)。 我只是从技术角度，阐述一下个人观点，如果有什么金融的原理上的错误，还望大牛指出。 首先，本文并不是对比特币的算法上的缺陷进行探究，我认为比特币的算法没有缺陷（不保证真的有什么…继续阅读 »

原文地址:http://drops.wooyun.org/papers/892 0x00 背景 随着水瓶月的到来，在祖国繁荣昌盛的今天，web系统的浏览器端也越来越重，很多的功能逻辑都放在了js中，前端的漏洞也越来越多。 我今天就说说location.href跳转的一些问题。 前端跳转常见的代码形式是: #!javascript location.href…继续阅读 »

原文地址:http://drops.wooyun.org/tips/188 0x00 背景 在Browser Security-同源策略、伪URL的域这篇文章中提到了浏览器的同源策略，其中提到了XMLHttpRequest严格遵守同源策略，非同源不可请求。但是，在实践当中，经常会出现需要跨域请求资源的情况，比较典型的例如某个子域名向负责进…继续阅读 »

原文地址:http://drops.wooyun.org/tips/14727 Author:bbdog 0x00 设备指纹 前言 最近”水哥”很是火了一把，一招微观辩水技惊四座，粘贴下其如何做到的描述如下： 王昱珩：多信息匹配，看水的时候所有信息抓住，从上往下看，亚克力杯子是没有什么细节的，工业产品很难看(…继续阅读 »

原文地址:http://drops.wooyun.org/news/2450 0x00 背景 相信曾经与黑色产业打过交道的同鞋们对这个话题并不陌生。赃款转移，是黑色产业链中最重要的一环，因为这一环直接与黑阔们的收入息息相关。赃款转移地太过安全，容易产生巨额手续费/汇率而导致收入减少。赃款转移不够安…继续阅读 »