Kết quả tìm kiếm

Trong ngày 25/4 vừa qua xuất hiện trường hợp khách hàng bị mất tiền trong tài khoản ngân hàng từ thẻ ghi nợ, số tiền bị rút từ cây ATM, trong khi đó khách hàng xác nhận rằng thẻ vẫn nằm trong ví suốt thời gian số tiền bị rút. Cụ thể là anh H.M.T ở Hà Nội, sử dụng thẻ ghi nợ quốc tế của Ngân hàng...

Web Security: Tường lửa ứng dụng Web (WAF) Tường lửa ứng dụng web là một giải pháp nhằm bảo vệ cho ứng dụng web tránh khỏi các lỗi bảo mật. WAF là thiết bị phần cứng hoặc phần mềm được cài đặt lên máy chủ web có chức năng theo dõi các thông tin được truyền tải qua giao thức http/https giữa...

Tại sao chúng ta lại cần một wordlist ? Chúng ta cần sử dụng wordlist cho những mục đích nào? Và cách tạo một wordlíst như thế nào để đạt hiệu quả cao? Đó có lẽ là những câu hỏi cơ bản cho những bạn mới (newbie). Ở bài viết này mình sẽ trình bày một vài thứ liên quan đến wordlist. Trong máy...

Đầu tháng 3 vừa qua chúng ta đã được chứng kiến sự ra mắt lỗi từ CVE 2017-5638 bắt nguồn từ Apache Struts. Lỗi này xuất hiện trên 2 triệu trang web đang sử dụng kiến trúc của Struts cho Apache. Lỗi khá nghiêm trọng có thể dẫn đến Remote Code Excutive - RCE, khiến ta có thể tạo backdoors, chiếm...

RCE là gì ? RCE là viết tắt của Remote Code Execution - Thực thi code từ xa. Tức là bạn có thể thông qua một kĩ thuật nào đó để có thể đạt được quyền điều khiển trên máy nạn nhân, thông qua đó có thể thực thi bash, shell...hoặc code của một vài ngôn ngữ kịch bản như python, perl...

CẢNH BÁO CUỘC GỌI LẠ TỪ ĐẦU SỐ QUỐC TẾ VÀ CÁCH XỬ LÝ Thời gian sau tết trong vòng 4,5 ngày trở lại gần đây. Nhiều khách hàng, thuê bao sử dụng dịch vụ của nhà mạng MobiFone đã nhận được các cuộc “nháy máy” lạ có đầu số đến từ các thuê bao ở nước ngoài. Cũng như tình trạng xảy ra vào tháng 11...

Vâng như đã hứa thì mình sẽ quay trở lại phân tích về lổ hổng PHPMailer mới được công bố gần đây. Oke mình sẽ bắt đầu luôn. Vậy thì đầu tiên là: What is PHPMailer ? PHP Mailer là bộ thư viện mã nguồn mở viết bằng PHP cho phép gửi mail từ các ứng dụng web. Điển hình là WordPress, Drupal, 1CRM...

Mình để ý thấy có nhiều bạn đang bị lu mờ giữa 2 khái niệm Pentest và Hacking. Thực sự thì cũng sẽ khó có thể phân biệt rõ ràng nhưng "Hacking" là cụ từ bạn sẽ sử dụng khi bạn tìm thấy lổ hổng ( cả về lổ hổng logic và lổ hổng đến từ tech ) và khai thác được lổ hổng đó. Còn Pentest theo mình thì...

Tiếp tục bài phần 1 về kĩ thuật Shellshock...:-)! Phần trước chúng ta đã nói về kĩ thuật Shellshock bắt nguồn từ đâu và mở rộng trong việc sử dụng Shellshock để kiểm soát mục tiêu. Phần này chúng ta sẽ tiếp tục mở rộng, ứng dụng kĩ thuật Shellshock cho các mục đích tấn công mục tiêu thực tế...

Shellshock là các ví dụ điển hình trong các lỗ hổng thực thi mã tùy ý trong hệ thống (ACE - Arbitrary Code Execution). Thông thường, tấn công vào các lỗ hổng ACE được thực hiện trên các chương trình đang chạy và đòi hỏi sự hiểu biết sâu về việc thực thi mã, memory layout, mã assembly - theo một...