我们是黑客吗?

我们是黑客吗?

大家觉得我算黑客吗?

先简单介绍下自己,会挖点漏洞、在TSRC、wooyun等都提交过漏洞
以前搞过sql注入、木马远控等等
现在会搞些web安全的东西,如xss、csrf等等
会有一些安全工具等、懂得写写代码

大家觉得我算是黑客吗?

抛开技术是否达到黑客该有的技术不说,我希望自己是黑客,但是不喜欢别人称呼我为黑客。

是不是觉得这是一个矛盾的说法?我先卖个关子,不做解释,大家继续往下看

阅读全文〉

谈谈携程支付日志泄漏与用户隐私

微博上的漏洞

我比较喜欢经常去微博逛逛,因为经常能在微博上看到很多最新的消息和好的学习资料,刚在前一篇文章写完发布出去,习惯性的逛着微博,就看到了关于携程支付日志漏洞的微博。

点进wooyun链接

http://www.wooyun.org/bugs/wooyun-2014-054302#0-tsina-1-14334-397232819ff9a47a7b7e80a40613cfe1),可以看到漏洞的简介。大概的意思是说携程支付接口开启了调试,所有向银行验证信用卡信息的数据包保存在了服务器。另外又因为支付日志存储的服务器存在目录遍历漏洞,于是日志就可以被遍历。根据漏洞提交者的说明,而日志里可以获取到(以下复制自漏洞简介):

阅读全文〉

我 黑客 编程 数据

现在的我

我是谁?一个什么样的人?

网名Fooying,就职于知道创宇。主要关注安全、开发与数据。

我是12年7月底进入公司,也是在404,然后13年4月份被cos调到成都分公司负责数据组,当然现在不是我负责。不过我是在13年6月毕业的,修的是软件技术专业。

像安全联盟背后的恶意网站数据都是我们处理的,所以大家可以看到我开专栏来写的两篇文章都是有关恶意网站的,因为除了自己业余对安全的研究,工作接触最多的就是恶意网站了。其实恶意网站里有很多东西可以写,不过我们对它们的挖掘还不够,以后有机会再慢慢跟大家分享。跟公司有关的就不多说了,如果大家想听我跟公司的事的话,可以给我留言,人多的话,我可以专门写一篇文章。

阅读全文〉