目前分類:Security (24)

瀏覽方式: 標題列表 簡短摘要

今天照往常的打開 UrMoney 記帳家的網頁,想要來記帳,

Chrome 卻意外的說這個 https 的網站是不安全的:

Screen Shot 2017-03-06 at 10.52.22 PM

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

最近公司舉辦了類似滲透測試的比賽,正好趁這個機會來玩一下 OWASP 出的 ZAP~

這一篇先簡單拿來來掃瞄一下公開的測試網站 http://demo.testfire.net~

 

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

最近加入了 Trend Micro Mail Scanner 1.0 的 External Beta 1

這是一個可以掃瞄 Gmail 信箱中有無惡意程式的服務,

有興趣的人也可以來加入看看~

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

最近看到書上用到 nmap,在自己網誌上查了一下,

原來我是有用過 nmap 來做過一些事情的,像是:

  - 使用 nmap 輔助找出 VirtualBox VM 目前的 IP address

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

繼續練習 網站滲透測試實務入門 這本書裡提到的東西...

今天練習的是用 web.archive.org 這個線上的網站歷史資料庫,來查詢網站可能有的漏洞~

 

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

最近有收到 Dropbox 寄信來,說建議密碼要修改,

其實在那之前就有看到 Dropbox 疑似被駭的新聞了,

不過其實不以為意,直到又看到這一篇

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

從 網站滲透測試實務入門 這本書裡看到了 theHarvester 這個小工具,

可以用來搜集指定網站的相關資訊,如 email、相關的 IP address、domain name 等等,

簡單來試一下吧~

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

今天打算來研究一下 Google Hacking,

滲透測試用的網站資訊這裡找了 demo.testfire.net 這個測試網站來打打看~

 

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

最近看完了網站滲透測試實務入門這本書,想開始來做一點滲透測試的練習,

下面把書上提到的一些測試用網站與資訊記錄下來~

 

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

今天連到公司某個專案的一個 https 網站,意外的看到了不合法的 SSL 憑證 (certificate),

Chrome 說憑證中的 Common Name 是無效的 (網址我偷改掉了,這邊只做舉例用):

Screen Shot 2016-08-24 at 10.54.59 AM

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

最近在用 Chrome 開網頁的時候,常常看到網址列上先出現一個 https://coolbar.pro 的網址,

接著會再重新導向回原本要開的網頁,看起來相當的詭異...

這件事情通常會發生在開啟一個還沒連過的網頁上面,

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

今天拿到一個 PDF,這個 PDF 是有編輯保護的,

因此就算我想在上面做註記,也是沒辦法存檔的,

可是電子書我又蠻習慣在上面畫線或做標記,該怎麼辦呢?

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

今天看到一個 PDF 檔案,同事沒有說這個檔案是不是惡意的,

想說就拿剛學到的 PDFStreamDumper 來看看這 PDF 是不是有問題的~

 

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

今天想要來分析一個可能潛藏惡意程式的 PDF,

不知道要從何下手,就先下網找找看有沒有相關的工具可以用...

有人推薦 Java 寫的 iText RUPS,試用一下還算 OK,

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

最近公司在推行 Windows 專案都要開啟 DEP/ASLR,增強我們產品本身的安全性~

當然我們自己寫的程式沒什麼問題,

Visual Studio 2015 編譯出來的 .exe 和 .dll 預設就會將 DEP/ASLR 打開,

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

有時候會想要批次查詢,某些檔案是否已經記錄在 VirusTotal 裡面,

用來確認產品掃瞄的結果是否有誤報 (false alarm)~

當然少量的話是可以手動上 VirusTotal search 頁面

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

公司最近要開始推行強制 Windows PE 檔案的 DEP/ASLR 設定,

DEP (Data Execution Prevention) 用來減低 buffer overrun 造成的危害,

ASLR (Address Space Load Randomization) 則是增加攻擊者利用 buffer overrun 的難度~

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

今天看到 Untrust the Suspicious Blue Coat Certificate Authority on Mac or Windows 這一篇, 

提到了 Blue Coat 這家公司現在有了 Intermediate CA (Certificate Authority) 的權限了,

這表示他們可以自己簽發一些憑證 (certificate)... 那又怎麼樣呢?

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

今天的訓練課程中講到的是 Fuzzy testing,

基本上就是用一些隨機產生的資料,來測試軟體或服務會不會出現問題~

今天是用 Taof 這套 Windows 上的工具,來對 3CDaemon 這個 FTP server 測試~

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

今天的訓練課程裡講到了駭客攻擊裡面,一個很重要的概念,

就是中間人攻擊 MITM (Man-in-the-middle) attack~

基本上就是駭客介入 client 與 server 的連線之中,所以連線中所有的資料都能聽到,

文章標籤

ephrain 發表在 痞客邦 PIXNET 留言(0) 人氣()

1 2
找更多相關文章與討論