网络安全
文章平均质量分 87
苏打呀
信息安全及计算机网络,略懂一点点算法
欢迎交流。
展开
-
利用TCP反射放大攻击将中间件武器化
https://www.usenix.org/conference/usenixsecurity21/presentation/bockhttps://www.youtube.com/watch?v=OSfgTbjb3oghttps://geneva.cs.umd.edu/papers/usenix-weaponizing-ddos.pdfhttps://github.com/breakerspace/weaponizing-censorshttps://geneva.cs.umd.edu/post原创 2021-09-01 12:48:11 · 2749 阅读 · 0 评论 -
自动化命令注入工具-commix分析
技术分类基于结果的命令注入:应用程序直接输出注入命令的结果经典基于结果的:利用常见的操作符进行连接动态代码赋值:应用程序使用eval函数(java,python,php等)盲注入:应用程序不输出注入命令的结果时间盲注:通过评估应用程序响应返回的时间,判断命令是否成功执行。逐字母判断输出,sleep不同的时间文件盲注:将执行结果写入文本文件(需要有写入权限,写入web目录或者tmp目录),组合时间盲注来读取文本文件内容。commix架构攻击向量生成模块生成攻击payload原创 2021-08-27 18:30:34 · 755 阅读 · 0 评论 -
零配置协议安全性分析及利用
Staying Secure and Unprepared: Understanding and Mitigating the Security Risks of Apple ZeroConf原创 2021-06-15 15:39:46 · 651 阅读 · 0 评论 -
基于固件的漏洞挖掘方法梳理
相关论文2013Fie on firmware: Finding vulnerabilities in embedded systems using symbolic execution, USENIX 2013方案:Fie技术:符号执行,静态分析,基于C源码,KLEE,基于MSP430系列微控制器点评:对于某些固件,完整的分析是难以处理的,分析中的各种不精确来源可能会导致误报或漏报。改进符号执行技术来适应固件特定的功能。结果表明Fie可以发现许多内存错误资源:https://www.usen原创 2021-06-07 21:35:27 · 8088 阅读 · 5 评论