高级浏览器漏洞攻击包:BrowserExploit

最新推荐文章于 2024-04-26 16:47:03 发布
最新推荐文章于 2024-04-26 16:47:03 发布
阅读量409 收藏 2
点赞数
文章标签: javascript shell 人工智能 ViewUI
原文链接:https://yq.aliyun.com/articles/126003
版权

image
BrowserExploit是一种先进的浏览器漏洞攻击包(通常指利用浏览器的漏洞来渗透目标),常见的比如IE的漏洞都可能导致目标设备在访问恶意页面后直接被GETSHELL,另外其他的比如Flash漏洞也都是可以通过浏览器来触发的,因此也可纳于Browser Exploit范畴。Browser Exploit适用于内部和外部渗透测试,以帮助相关人员获取访问内部计算机的权限。

Browser Exploit使用了大量的技术来绕过杀毒软件,其特色主要包括:

JavaScript混淆技术(逻辑异或,JS iFrame框架头,Cookie加密,分块加密iFrame,Base64 随机空间);

先进的开发技术;

基于流量学习的人工智能;

多用户就绪平台(ready platform);

过滤杀毒软件连接;

逃避网站域名过滤器;

反蜜罐功能欺骗非法用户和安全用户;

绕过Windows DEP / ASLR / UAC;

先进的多态shellcoding;(shellcoding字面意思是编写可以返回远程shell的代码,现在指一切可以被插入到漏洞利用(Exploit)中执行特定功能的字节码)

它对于非技术人员的意义是什么呢?如果你在自己的浏览器上上网冲浪,一旦你访问了被browser exploit攻击包感染的网页,那么你就很有可能在没得到任何提醒的情况下被恶意软件感染,运行恶意软件。

其他特征:

Windows 8/8.1/10 CFG(控制流保护)绕过;

SQL组织结构;

代码优化以实现在重负载网络中运行;

提醒:这款工具并不是用于脚本小子或那些技术一般的黑客们(或者程序员)。其本质上是一个平台,可以通过增加更多exploit的方式来构建自己的代码,平台上存在很多漏洞信息,其中一些漏洞增加了使用难度,以防止存在非法目的的黑客轻易地运行此代码。

本文转自d1net(转载)

weixin_34397291
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BrowserExplain.zip
03-17
BrowserExplain.zip
Explain是什么?Explain能干嘛?
09-20 445
1、Explain是什么 使用EXPLAIN关键字可以模拟优化器执行SQL语句,从而知道MySQL是如何处理你的SQL语句的。从而查询语句或是结构的性能瓶颈 2、Explain能干嘛 表的读取顺序 数据读取操作的操作类型 哪些索引可以使用 哪些索引被实际使用 表之间的引用 每张表有多少行被优化器查询 3、Explain怎么使用 Explain+SQL语句 EXPLAIN select * from tbl_emp ...
浏览器安全攻击与防御
olderandyanger的博客
11-30 1361
浏览器是我们访问互联网的主要工具,也是我们接触信息的主要渠道。但是,浏览器也可能成为攻击者利用的突破口,通过各种手段,窃取或篡改我们的数据,甚至控制我们的设备.本文将向大家介绍一些常见的浏览器安全的攻击方式和防御机制。
webbrowse提示版本过低_Structs全版本漏洞利用总结
weixin_39629947的博客
12-02 234
本文转自公众号:安全祖师爷前言Struts2框架目前已知的漏洞编号如下:S2-005S2-009S2-016 (含S2-013)S2-019S2-020S2-021S2-032S2-037(含S2-033)DevModeS2-045S2-046S2-048S2-052S2-055S2-057目前公开的工具,唯独缺失052和055的利用。S2-055比较特殊,严格来说055本身无问题,问题...
挖掘浏览器和移动漏洞.pdf
08-07
括识别不同的攻击面,用不同的方法去审计和测量浏览器程序,这其中 fuzzing 技术将是我们的关注重点。我们将披露真实的案例,括一些我们用来对抗谷歌 ClusterFuzz 这样的巨头对手的工具和经验。
web网站文件漏洞攻击-运维安全详细笔记总结
06-30
web网站文件漏洞攻击-运维安全详细笔记总结
Gartner:用自适应安全架构来应对高级定向攻击
02-26
当前的防护功能难以应对高级的定向攻击,由于企业系统所受到的是持续攻击,并持续缺乏防御力,面向“应急响应”的特别方式已不再是正确的思维模式,Garnter提出了用自适应安全架构来应对高级定向攻击。大多数企业在...
《白帽子讲浏览器安全》作者: 钱文祥 出版年: 2016年
04-21
浏览器是重要的互联网入口,一旦受到漏洞攻击,将直接影响到用户的信息安全。作为攻击者有哪些攻击思路,作为用户有哪些应对手段?在《白帽子讲浏览器安全》中我们将给出解答,带你了解浏览器安全的方方面面。《白...
Http请求的流程
weixin_30474613的博客
08-31 98
1、域名解析,通过路由分组转发数据到server 2、http是基于tcp/ip的application layer的protocol,故首先建立tcp连接,再发送请求信息。 3、server response corresponding resource after receiving request 4、browser explain theresource after get res...
浏览器安全漏洞解析
03-04
浏览器作为用户与网络交互时使用最频繁的窗口,要容纳非常广泛的内容。因此它的自身设计的复杂性是不课避免的,它提供了大量的组件扩展。浏览器漏洞不非一定是缓冲区溢出,括多种因素,像控件安全问题,脚本权限盘查失误等问题,都给入侵者提供了攻击的机会。
webbrowser只对浏览器外应用程序以及在_IE 一个漏洞遍布的浏览器(三)
weixin_39781209的博客
12-01 318
本质上,对象在较旧的文档模式中呈现为独立实体,但在较新的文档模式中呈现为iframe。无论如何,内部都是WebBrowser控件,Trident引擎暴露的成员属性都是相同的。但是当我们关闭兼容性代码时继承的窗口成员让我们回顾一个较旧的documentMode并找到一种方法来利用这个混乱错误,这似乎并不是那么糟糕,因为跨域限制仍然存在,并且X-FRAME-OPTIONS标题非常有效。像window....
browse.php?u,phpMyRecipes browse.php SQL注入漏洞
weixin_42506647的博客
04-01 123
phpMyRecipes browse.php SQL注入漏洞发表日期:2015-01-19 14:04:33phpMyRecipes browse.php SQL注入漏洞CVE-ID:CVE-2014-9440发布日期:2014-12-31更新日期:2015-01-12受影响系统:phpMyRecipes phpMyRecipes 1.2.2详细信息:phpMyRecipes是存储及检索食谱的应...
常见的HTTPS攻击方法
weixin_33896726的博客
12-24 696
0x00 背景 研究常见的https攻击方法 Beast crime breach,并针对https的特性提出一些安全部署https的建议。 针对于HTTPS的攻击,多存在于中间人攻击的环境中,主要是针对于HTTPS所使用的压缩算法和CBC加密模式,进行side-channel-attack。这几类攻击的前置条件都比较苛刻,且都需要受害主机提交很多次请求来收集破译关键数据的足够信息。 ...
简单的web漏洞攻击方式
qq_43772826的博客
06-11 601
xss 跨站脚本攻击(Cross site Scripting) 往Web页面里插入恶意代码,当用户浏览该页面时,嵌入其中的恶意代码就会执行,从而达到恶意用户的特殊目的。 危害:钓鱼、蠕虫病毒、盗取用户密码、强迫用户输入等 webshell 什么是webshell? 通过web入侵的一种脚本工具,可以据此对网站服务进行一定程度的控制。 防止服务器被上传webshell 非法上传防护 已经被上传了webshell 1、黑客要利用此脚本 2、经典的webshell特征 3、先防护Response,后防护requ
vue快速入门(四十六)Router的安装与使用
最新发布
不起眼小菜菜的博客
04-26 343
步骤很详细,直接上教程……
vue2---修饰符
weixin_45503872的博客
04-24 1005
此时有一个问题,如果我们设置了系统修饰符,并不希望有其他的按键组合,比如我们设置ctrl修饰符,此时如果按住ctrl和其他键,然后再点击鼠标,此时也会触发事件监听,所以我需要使用其他的修饰符来设置精确匹配事件。此时People的data返回的是一个对象,不是一个地址,每一个实例拿到的都是个独立,个体的对象,互相不会数据冲突,这个就是vue组件data为什么是函数的原因。data是一个函数,返回的是一个对象,目的是为了让每个组件数据隔离,这个是JavaScript的原理,并不是vue去设计的。
vue 实现级联选择器功能
清音的博客
04-22 509
数组含了级联选择器的数据源,其中每个对象表示一个选项,括。组件来实现级联选择器功能,下面是一个示例代码,演示如何使用。组件初始化级联选择器,并设置默认值为单位。对象用于指定数据结构中的属性名,以便。上,可以在初始化时选中指定的值。使用 Element UI 的。中设置初始选中值为单位。组件正确地解析数据。
如何使用kali的msf进行高级漏洞攻击
06-10
首先,使用Kali中的Metasploit Framework (MSF)进行高级漏洞攻击需要一定的技能和知识。以下是一些基本的步骤: 1. 确保你已经安装了Kali,以及Metasploit Framework。 2. 了解漏洞攻击的基本原理和流程,括信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值