[Mac] Chat for Facebook Messenger 偷偷藏了挖礦程式!
因為 Facebook 的 Messenger 聊天功能得開網頁才能用, 平常我也不常打開 Facebook 網頁, 所以我之前都是在 Mac 上安裝 Chat…
[Pentest] 使用 ZAP 的 HTTPS Proxy 時,Dropbox 無法連線?
之前用過 OWASP ZAP 做滲透測試,找尋網站可能的弱點。 ZAP 同時也可以做為一個 HTTP Proxy, 用來攔截所有 HTTP/HTTPS 的連線,…
[Linux] 使用 stix-validator 驗證 STIX 檔案的正確性
最近在處理 STIX 相關的問題, 需要有工具可以驗證 .stix 檔案的正確性~ 找了一下,stix-validator 是個可以用的工具,只要先用 pip …
[Yara] Yara rule 搭配上 global rule 就無法比對成功了?
今天遇到一個問題, 第一個 Yara rule 本來可以偵測某個病毒, 但只要加上另一個 Yara rule,原本的 rule 就會無法偵測… &n…
[Security] Webgoat 的 XSS 與 SQL injection 初階練習
Webgoat 裡面有許多不同類型的漏洞, 這次做的是 XSS (Cross-site scripting) 和 SQL injection 的初階練習, 簡單…
[Pentest] 使用 webhook.site 接收 CSRF+XSS 透過 HTTPS 傳過來的 cookie
最近公司在舉辦內部的 Hacking 活動,因此也學到了不少東西, 舉例來說,像我可能找到了產品 Web UI 上, 有 CSRF (Cross-Site Re…
[Security] 在 Mac 上執行 WebGoat,練習網頁的滲透測試
最近公司舉辦找軟體漏洞的比賽,也有一些訓練課程, 像 WebGoat 就是拿來練功的一個好東西~ 公司有提供已經裝好 WebGoat 的虛擬機器,不過其實 We…
[Chrome] MultiLogin 擴充功能原來是惡意軟體
之前曾寫過一篇 利用 MultiLogin 同時登入痞客邦不同帳號, 事隔兩年,在 chrome://extensions 裡整理沒在用的 Chrome 擴充功…
[Mac] 撰寫 Yara 規則,用 Yara 掃瞄含有特定字串的檔案
今天要測試專案裡用到 Yara 的一個問題, 就順便簡單記錄一下 Yara 的使用吧~ 假設我想要寫一個 Yara 規則,用它來找出 Google…
[Security] www.urmoney.tw 記帳家的 HTTPS 網站簽章出現警告訊息
今天照往常的打開 UrMoney 記帳家的網頁,想要來記帳, Chrome 卻意外的說這個 https 的網站是不安全的: 畢竟是記帳網站,還是看…