标签 ‘Fuzz’ 下的日志

Fuzz工具下载地址列表以及特点分析

作者:linshifei

去年的时候整理了下业界的fuzz,做了个梳理,现在准备整理下,共享出来.不然,年纪大了就忘了:)
阅读全文 »

Tags:

Phoenix / Tools

# 鬼仔:之前有收藏这个地址,今天又在包子那里看到,包子给起了一个名字,叫 Web安全工具大汇聚 。

原文地址 OWASP的wiki里

LiveCDs

Monday, January 29, 2007 4:02 PM 828569600 AOC_Labrat-ALPHA-0010.iso – http://www.packetfocus.com/hackos/
DVL (Damn Vulnerable Linux) – http://www.damnvulnerablelinux.org/
阅读全文 »

Tags: , , , , , , , , ,

WEB暴力破解–我用wvs fuzzer

鬼仔注:以前发过Acunetix Web Vulnerability Scanner V5.1 破解版

Writer: demonalex[at]dark2s[dot]org

讲到WEB暴力破解通过大家都会用小榕的溯雪,但并不是所有WEB破解溯雪都是应付自如的(不要说我说小榕他老人家的坏话),最近因为工作的关系,碰到一个网管型设备的WEBPORTAL需要做WEB破解,看看HTML的源码:

阅读全文 »

Tags: , , , ,

PaiMei

Pedram Amini同学写的工具,Paimei去年还是前年刚出来的时候,dm牛牛就发到了论坛,非常好用的一个工具,很多漏洞重现起来很麻烦,用这个基本上十几分钟就能出来。
最近又有人写了一个教学,不会的同学可以去看看

PaiMei is a reverse engineering framework consisting of multipleextensible components. The goal of the framework is to reduce the timefrom "idea" to prototype to a matter of minutes, instead of days.PaiMei 阅读全文 »

Tags: ,

关于社工FUZZ

作者:刺
来源:幻影maillist

其实社工FUZZ也是可能的

而且我想我的方法还是比较科学和可行的

按照安全开发流程(SDL)里的方法,在一个环节中是要建立威胁模型(Threat Modeling)

其基本思路是找出所有系统的边界

然后根据边界(Border)和数据流向(Data Flow)分析攻击范围(Attack Surface)

这样就有一个比较清晰的思路;

在社工FUZZ中,可以分析目标的所有对外的边界(比如HR、销售、公司高管、技术人员、客服、财务 各人员节点对外业务)

然后建立这些人员节点之间的数据联系,以及可能的业务;(比如HR可能会找猎头公司买资料,可能会参加校园招聘,可能会有机会接触到其电脑)

根据业务逻辑,可以确定出 Attack Surface(比如攻击HR的途径、 攻击客服的途径);
阅读全文 »

Tags:

Fuzzing in Word溢出分析和利用

文章作者:gyzy [E.S.T](www.gyzy.org)
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

本文已经发表在《黑客防线》2007年7月刊。作者及《黑客防线》保留版权,转载请注明原始出处。

适合读者:溢出爱好者
前置知识:汇编语言、缓冲区溢出基本原理
Fuzzing in Word溢出分析和利用
文/图 gyzy[江苏大学信息安全系&EST]
从03年到07年,Office连续曝出了一系列的漏洞,也就是从那时起,人们逐渐将目光从远程服务溢出转向了客户端程序的溢出,现在milw0rm上平均每公布的10个溢出的POC代码有8个都是客户端程序的溢出,其中甚至不乏杀毒软件这样的“安全产品”。Word作为Microsoft Office系列产品中的主打产 阅读全文 »

Tags:

Python Fuzz Testing Tools

来源:kijs's blog

[1]Python Testing Tools Taxonomy
http://pycheesecake.org/wiki/PythonTestingToolsTaxonomy

[2]PythonTestingToolsTaxonomy#FuzzTestingTools
http://pycheesecake.org/wiki/PythonTestingToolsTaxonomy#FuzzTestingTools

[3]The Peach Fuzzer Framework
http://peachfuzz.sourceforge.net/

[4]Jester – the JUnit test tester
http://jester.sourceforge.net/
阅读全文 »

Tags: ,