AMR智能合约转账溢出漏洞分析复现

颠覆互联网的区块链来了,黑客也随之降临。
利益之下,黑客肆掠。

研究了一些区块链安全,有几个挺有意思的漏洞。

基础

Solidity 是一门面向合约的、为实现智能合约而创建的高级编程语言。这门语言受到了 C++,Python 和 Javascript 语言的影响,设计的目的是能在以太坊虚拟机(EVM)上运行。

Read More



安全开源项目wiki平台

平常总会遇见一些好的项目,但是到用的时候却想不起来了。

所以趁着休息的时候写了个安全开源项目相关的平台

  • 前端:layui
  • 后台:python

Read More



为什么我不关心比特币

最近有点浮躁~

对这个东西不感兴趣,有几点:

  • 美元是真正的世界货币,其实通过paypal、用信用卡付款,在任何一个国家支付美元、全球购物都是非常方便的。 只要比特币没有跟美元直接挂钩,形成官方汇率,形成良性监督,这个东西风险都非常高。比如法律风险、比特币自身的安全漏洞。

Read More



新博客,新开始

从学生时代就开始养成写东西的习惯,从第三方博客到独立域名博客。

之前用了几年的域名itwzw.cn域名密码也忘了。也不打算用了

所以换个com的域名,所以以后就用beysec.com这个域名了~

博客系统基于hexo + git + 独立服务器来持续集成部署。

Read More



MySQL在insert-update-delete的注入Tricks

看到P牛的一篇文章,提到几个trick,其中在MySQL5.7 INSERT注入方法。
然后找了一些资料学习了一波。

先来看个简单的例子

1
2
3
4
5
6
7
MariaDB [sqlitest]> select 'bey0nd' = 0 ;
+--------------+
| 'bey0nd' = 0 |
+--------------+
| 1 |
+--------------+
1 row in set, 1 warning (0.00 sec)

Read More



sqlmap源码分析与学习

sqlmap是安全人员必备的注入神器,没有之一。注入手法,注入思路以及注入语句构造的都是相当厉害。

sqlmap作为集检测与利用一体的注入工具,在注入判断上的速度难免会慢一些。虽然提供了sqlmapapi的形式供DIY调用,但效果差强人意。
所以一直以来都在写着能够快速定位到注入点而非注入利用的工具。最重要的就是快、误报低。

Read More



我们都是骄傲的人

此文仅作者可见

Read More



你好,2018

元旦快乐。

一晃来了北京一年了,正值元旦,突然想想这一年也成长了不少。
正好公司也要年度总结报告,也简单的个人总结下~
年初刚来北京的一些目标也大多数完成了。

回想一下当时还是挺有意思的。

Read More



Python线程与Queue的join()和task_done()

写一个扫描器用到了python多线程和消息队列的东西,直接用queue却没达到预期效果,网上找了一下资料,发现解释的没那么明白。

看了一下官方文档。
链接地址:https://docs.python.org/2/library/queue.html?highlight=task_done#Queue.Queue.task_done
文档写的也有点模糊。
Queue.task_done() 在完成一项工作之后,Queue.task_done()函数向任务已经完成的队列发送一个信号
Queue.join() 实际上意味着等到队列为空,再执行别的操作

Read More



一款基于插件的web漏洞扫描器设计与实现

前言

漏洞扫描器在web安全领域一直是个热门话题,也有不少扫描器站了出来,有的成为安全从业者的必备神器,而有些则昙花一现。不管是web模式,B/S模式的扫描器都接触不少。最近趁着有点时间,试着动手写一个扫描器吧。毕竟自己写的才能跟自己的需求符合上。

Read More