PHP preg_match() 繞過
本篇提到了正規表達式的兩種引擎 DFA(Deterministic Finite Automatons) 和 NFA (Nondeterministic Finite Automatons)
在 PHP 的 preg_match() 是採用NFA且在匹配的過程中是有回朔次數限制的
本篇提到了正規表達式的兩種引擎 DFA(Deterministic Finite Automatons) 和 NFA (Nondeterministic Finite Automatons)
在 PHP 的 preg_match() 是採用NFA且在匹配的過程中是有回朔次數限制的
區塊鏈 (Blockchain) 受到人們的吹捧,在眾多的應用情境中,除了加密貨幣 (Crypto Currency) 之外,最受矚目的就是智慧合約 (Smart Contracts),目前主流的智慧合約使用 Solidity 撰寫,其中有許多資安議題值得我們學習與探討,Ethernaut 是一個由 zeppelin 維護的智慧合約資安練習平台,目前已有 19 個練習項目,都是智慧合約資安議題中的經典,值得大家前往挑戰。
網站的新標準 WebAssembly 逐漸成熟,惡意程式當然也跟上了這個潮流,許多網站挖礦程式均使用 WebAssembly 編寫,因此 FireEye 開發了 idawasm 套件,讓我們能夠在逆向神器 IDA Pro 中愉快的對 WebAssembly 進行逆向分析。
不論是在開發網站,做滲透測試,還是逆向分析,我們都需要對服務產生的流量進行觀察,因此網路上誕生了許多工具,讓你把流量往他身上打,但這樣的服務總是伴隨著許多限制,若我們正在執行的是高機密的測試任務,這些公開服務都變得無法使用,因此 TCPBin 就此誕生。
技術越練越熟練,但是現在的 CTF 難度越來越高,對新手越來越不友善,那新手還可以去哪裡練功呢? 台灣就有一位熱心的白帽駭客 Inndy 特別將他在各種課程與競賽出的題目整理成一個 CTF 供大家練習,題目有簡單有困難,不僅新手適合,進階的人也可以在這個網站獲得充分的練習
今天來說說 Nodejs 的服務偵測與弱點利用工具 NodeXP, NodeXP 是一個 Python 2.7 所撰寫的 Nodejs 弱點偵測與利用工具,他會自動探測標的是否存在弱點並進行利用,主要攻擊方式為 Server Side Javascript Injection (SSJI)
企業單位通過 Red Team 演練找出公司資訊安全上的弱點,同時間也可以訓練 Blue Team 的偵測與回應能力,RedELK 是一個完整且容易部屬的系統,讓紅隊能夠追蹤藍隊的行為以及發出相關警告,提升紅隊的攻擊成功率與隱匿度,同時間演練的最高層監督者更能了解紅隊與藍隊之間的互動情形。
PortSwigger 也就是Burp Suite 的開方商,列出了2017年中許多新的 Web 攻擊技術,並開放讓大家投票選出2017年前十大Web 攻擊
如果對於2017中有哪些新的技術還不熟悉,可以趁這個整理過的清單來複習一下
TLS保護著我們上網的隱私與安全,但作為一個資安研究人員不能只知其然而不知其所以然,讓我們一起深入了解 TLS 的各種階段封包是長甚麼樣子的吧! 這個網站與Wireshark不同的地方在於,他是用互動的方式讓你了解,並且針對每一段資料都有詳盡的解釋,甚至也給出了 openssl 指令讓你在實際環境進行分析。
身為一個網站工程師,總是需要關心一下自己開發的網站是否安全,但要檢查的東西太多了,有沒有什麼清單可以讓我們快速清查呢?有的, 這裡有一份很純的 PHP Security Checklist,還不快來參考看看吧。