wooyun小助手-FancyPig's blog
金融反欺诈-海外信用卡黑色产业链-FancyPig's blog

金融反欺诈-海外信用卡黑色产业链

0x00 概述 上篇文章金融反欺诈-交易基础介绍我们详细介绍了银行卡的相关内容,以及银行卡的可复制的风险。本篇文章主要介绍下海外信用卡欺诈的相关内容,并初步探讨下信用卡反欺诈的方式。 0x01...
高级组合技打造“完美” 捆绑后门-FancyPig's blog

高级组合技打造“完美” 捆绑后门

0x00 简介 之前写过一篇关于客户端钓鱼的文章:《使用powershell Client进行有效钓鱼》中,在使用各个Client进行测试的过程中,个人发现CHM文件是最好用的一个,但是其缺点就是会弹黑框,这样就...
首例具有中文提示的比特币勒索软件“LOCKY”-FancyPig's blog

首例具有中文提示的比特币勒索软件“LOCKY”

0x00 概述 安天安全研究与应急处理中心(安天CERT)发现一款新的勒索软件家族,名为“Locky”,它通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一...
金融反欺诈-交易基础介绍-FancyPig's blog

金融反欺诈-交易基础介绍

Author:Hestia@阿里安全研究实验室 0x00 前言 一、简介 如今,互联网金融比较火热,金融欺诈也变得非常普遍,金融反欺诈也应运而生。本文将主要介绍下金融交易中的一些基本内容,并简单介绍下...
黑产godlike攻击 邮箱 XSS 窃取 appleID 的案例分析-FancyPig's blog

黑产godlike攻击 邮箱 XSS 窃取 appleID 的案例分析

最近黑产利用腾讯邮箱的漏洞组合,开始频繁的针对腾讯用户实施攻击。 其利用的页面都起名为godlike.html,所以我们把这起攻击事件命名为godlike。 主要被利用的漏洞有3个, 一个 URL 跳转, 一个 ...
黑客写Haka-第一部分-FancyPig's blog

黑客写Haka-第一部分

Haka是一种开源的以网络安全为导向的语言,可以用于编写安全规则和协议剥离器。在这一部分中,我们的重点是编写安全规则。 0x00 什么是Haka Haka是一种开源的以网络安全为导向的语言,可以在捕...
黑狐木马最新变种——“肥兔”详细分析-FancyPig's blog

黑狐木马最新变种——“肥兔”详细分析

0x00 背景 近期,腾讯反病毒实验室拦截到了大量试图通过替换windows系统文件来感染系统的木马,经过回溯分析,发现其主要是通过伪装成“37游戏在线”等安装包进行推广传播,感染量巨大。该木马...
隐私泄露杀手锏:Flash 权限反射-FancyPig's blog

隐私泄露杀手锏:Flash 权限反射

0x00 前言 一直以为该风险早已被重视,但最近无意中发现,仍有不少网站存在该缺陷,其中不乏一些常用的邮箱、社交网站,于是有必要再探讨一遍。 事实上,这本不是什么漏洞,是 Flash 与生俱来的...
黑客教你如何在微信强制诱导分享营销广告还不被封!-FancyPig's blog

黑客教你如何在微信强制诱导分享营销广告还不被封!

(图:不被微信封,是做微信营销和微商的终极梦想之一)   这年头,发广告诱导强制分享不是事儿,发广告诱导强制分享还不被微信封才是真事儿。据说这套黑客宝典能让张小龙梦碎,能让微商实...
【链接待修正】验证码安全问题汇总-FancyPig's blog

【链接待修正】验证码安全问题汇总

0x00 前言 其实drops里面已经有小胖胖@小胖胖要减肥 和A牛@insight-labs 相应的文章,只是觉得应该有个入门级的“测试用例”。本文不涉及OCR,不涉及暴力四六位纯数字验证码,不涉及没有验...