盘古:让世界知道中国也有顶尖的技术人才

昨天,应该是今天,盘古团队(@panguteam)发布了国人的越狱工具(可以到盘古官网下载)。

在盘古的官网(http://pangu.io)的关于里是这样写的:

我们是一群从事多年信息安全技术工作的老家伙,有喜欢玩越野的,有喜欢泡夜店的,有喜欢动漫的,当然还有技术宅。 自从iPhone第一代发布,国外黑客就开始研究iOS系统的越狱,直到iOS7系统可以说越狱的技术难度越来越大。 其实越狱最初的理念是我的设备我做主,就像真正的黑客追求的是互联网的自由精神。 在越狱工具的开发上国外黑客垄断了多年,我们想做的很简单,就是让世界知道中国也有顶尖的技术人才!   最后一句话,“让世界知道中国也有顶尖的技术人才”。我们知道,苹果的越狱从来没有国内的什么事,每次苹果发布新版IOS,我们只能坐等国外大牛发布越狱工具,而这次,国内的越狱团队盘古让我们看到了国人的骄傲。 再看一段介绍:

阅读全文〉

说说恶意网站

前言

恶意网站在大家平时网络生活应该不少接触,比如,QQ聊天窗口的安全提示,百度搜索结果的拦截提示,或者是QQ管家、金山毒霸等在你访问某些网站时弹出的访问提示;再或者某某访问什么网站,被骗了多少钱等等。。。

细数这些,我想大家都不陌生,但是具体恶意网站又是怎么一回事,我想估计真正了解的人没多少。

前前后后写了几篇关于恶意网站的文章,整理一下让大家更加的了解恶意网站。

阅读全文〉

QQ群弹了个窗

前言

估计搞安全的同学今天早上登陆QQ,打开QQ群消息,被一大堆的弹窗弹的郁闷了,缘于一个QQ群的存储型XSS。

网络尖刀团队的mango同学在昨天发现了这个QQ群的存储XSS,同时也提交了TSRC,结果根据mango同学说法,有人把这个XSS给泄漏了,结果就导致了各个QQ群的弹窗事件了。

阅读全文〉

帮我们找漏洞的扫描器

刚跟COS读者群的一个自称是外国人的的读者聊完天。问我是不是黑客,然后想学黑客,我居然用我那蹩脚的英语基本跟他聊了半天,各种鼓励。不管是否是真的外国人,瞬间觉得我人生格调变高了,也惊叹cos的粉丝都有外国人了。

其实看到有个外国人发消息给我,第一时间觉得是装的,来社工的,后面聊了下感觉不像是装的,不过也没聊任何感觉像是社工相关的话题,他是不是装的就无所谓,没聊到相关隐私的问题,哈哈(我发完微博发现大家意识都很好,第一想到的就是社工和钓鱼,也可能我听众和关注的都是搞安全的)。

每次开题前总要与大家闲扯下,哈哈。

来北京有一两个礼拜了,现在在公司做的是公司Web漏洞检测引擎的开发工作,安全与开发相结合,自己觉得挺喜欢的。扯多了,做Web漏洞检测引擎的工作,所以自己对于这边多多少少做了一些功课,所以今天来与大家聊聊这方面的话题,如果有不对的观点欢迎大家指出(下面讲到扫描器都是讲Web漏洞扫描器)。

阅读全文〉

安全需要激情

话说最近特别忙,在公司负责漏洞检测引擎的重构,然后又忙着租房子,基本都没写文章,前天本来想写一篇文章,结果断网了,今天请假了一天去找房子,到处跑了一天,回来累死了,不过还是爬起来写篇文章。

来北京一个礼拜了,然后都住在公司给实习生找的宿舍里,跟蘑菇他们住在一起,交流了很多想法,有感而发,所以想着写一篇文章。看到安全与激情,估计很多同学马上就想到了某种用品,不过也怪不得大家,我百度图片一搜索想找张配图,结果你也都是类似的结果。不过这个此安全非彼安全,我想说的是搞安全需要激情。

阅读全文〉

博全球眼球的OAuth漏洞

据Cnet报道,新加坡南洋理工大学一位名叫Wang Jing的博士生,发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect)。

突然间这个漏洞似乎就火了,这几天一直在研究这个漏洞以及各种猥琐的利用。

阅读全文〉

SRC们

有段时间没写文章,今天难得有想法在写代码忙碌之际抽时间给大家写篇文章。

这几周下来,OpenSSL、Struts2补丁绕过、IE 0Day。。。似乎一个个大洞不断啊,当安全越来越重要,各种互联网厂商也越来越重视安全的时候,各种SRC就如同雨后春笋般出来了。

阅读全文〉

社工与社工库的那些事

估计看过我前面的《寻找初恋,一个黑客的故事》的同学还记得文章里有一个地方直接查询社工库获得QQ密码进入QQ空间的点。记得有好多同学问我啥是社工库,社工库有那么牛吗?今天跟大家聊的就是这个话题,谈谈社工库。

估计OpenSSL的漏洞又让许多同学的社工库添加了不少好东西,一些以前想着法子都破不了的站估计都搞到数据了,具体的就不多说了,来谈谈今天的话题。

阅读全文〉

那些年,那些安全组织

有两天没写文章了,前天发了一段话,收到了很多同学的鼓励以及各种共勉,甚至在知乎上看到有同学评价说亲切,像面对面在聊天,真的很高兴,自己能给大家带去各种正能量与鼓励还有这种亲切的感觉,希望可以继续下去。从07、08开始接触安全的这些东西,到现在算来也有6、7年了,在这期间,有加过一些安全组织,甚至自己也有创建过,今天就与大家聊聊自己接触过的这些安全组织。可能有些时间弄的不是很清楚,大家见谅。

首先是早期,早起的国内安全组织一般都比较牛,成员现在应该都是国内许多公司的顶梁柱了把。

阅读全文〉