余弦函数_百度空间

公告

文章列表

我在这evilcos.me/blog/

2011-10-24 22:31

http://evilcos.me/blog/

转移了，就不回来了。百度空间没落了。

阅读全文>>

类别：默认分类 | 评论(0) | 浏览()

人人网招聘Web安全工程师

2011-06-15 10:48

帮人人的朋友发下招聘，感兴趣的同学可以考虑考虑。最近我发的都是招聘贴，汗！

--------------------------------------------------------------------------------------------

招聘人数：3
岗位职责：
负责公司核心业务及产品的安全测试、安全审核、安全风险评估与分析
对产品代码进行审视，找出安全漏洞并提出修改建议
研究各种安全技术，编写和维护用于安全测试的攻击工具、防御工具和分析工具
根据公司安全的需要开发安全辅助工具或平台
维护公司现有的安全程序，系统
负责公司Web产品

阅读全文>>

类别：默认分类 | 评论(0) | 浏览()

知道创宇长期招聘：Web安全研究员+Python Web研发工程师

2011-04-12 09:26

有兴趣的发evilcos(.#.)gmail.com。

下面列的是Python Web研发工程师的需求，Web安全研究员也很需要。
其中，Web安全研究员在我们公司迟早都必须具备较深的Python功底，还得会熟练Web安全周边的技能，比如熟练Linux，MySQL等运维。至于原因，简单说下吧：不会编程的黑客不是好黑客。我们不需要纯研究（长久了会迂腐的），我们需要研究的成果自己就能很好转化成相关的环境、规则、程序、产品等。

-----------------------------------------------------

阅读全文>>

类别：默认分类 | 评论(0) | 浏览()

XeyeTeam钓鱼T恤

2010-07-19 09:56

懒得弄了。

http://hi.baidu.com/ycosxhack 首页上有T恤钓鱼show
对了，需要登录才能看到首页的T恤钓鱼show

然后……

我们的T恤出来了。喜欢的朋友可以考虑考虑？

阅读全文>>

类别：Script Attack | 评论(0) | 浏览()

最近三、二事

2010-06-29 23:35

重构一个平台的核心是需要勇气的，然后是估算好时间，否则就悲剧了，我现在就在这个杯具里。还好，我坚信我的重构会带来更好的性能、更能适应需求！我是pythoner，不等于我只禁锢在python里。最近在玩围棋。买了个黑板，灵感来了随时记录。想做很多很多很多事，不过我不是超人。在某些领域（非计算机），我实在找不到志同道合者，只能孤独地自我充实。幻方很有意思，高二时就开始推，二维的、三维的，甚至更高维，自己还推了些公式出来，不过这点小玩意没什么好说的。一旦涉及更高维或更多边、多面的情况，我就悲剧，因为我发现

阅读全文>>

类别：默认分类 | 评论(0) | 浏览()

一种新颖的攻击模式

2010-04-25 23:32

有个例子：

gmail钓鱼攻击，我有一种在某种场景下比较经典的钓鱼方法，成功率大于50%，可以顺利拿到被攻击者的密码。攻击思想是：用自己的服务攻击自己。

随着web应用的多向性发展，分离、聚合，甚至可以构成一个web os。比如google这样的。现在的web2.0讲究mashup，比如google就有自己的gadgets，这在google wave/igoogle里得到巨大的发挥。再比如opensocial api，mashup进那么多优秀的第三方应用。

这些看似分离的服务，在攻击中能起到什么样的作用呢？

浏览器的同源策略很不错

阅读全文>>

类别：Script Attack | 评论(0) | 浏览()

真相只有一个

2010-04-22 12:51

http://www.nytimes.com/2010/04/11/weekinreview/11jacobs.html?pagewanted=all
https://www.kenengba.com/post/2872.html

有一种邮箱攻击有的时候也同样很猛：基于邮箱非主流功能或邮箱周边值得信任的功能，进行的钓鱼攻击。
还有攻击时多考虑些细节，可以让攻击无缝……

实施攻击前，可以做很多实验，找到攻击的好exp，这步目前是最难的，其他都是比

阅读全文>>

类别：Script Attack | 评论(0) | 浏览()

一个很大的挂马源

2010-03-19 16:58

知道创宇webmon云平台监控的，去年底到现在还活跃着的挂马源：

http://**********/c.js?google_ad=***x***_ad （url变形较多）

域名形式如：***.xorg.pl，一个波兰的域名，类似于中国的3322.org/2288.org提供二级域名等服务。

最近发现其静态对抗技术“升级”了：

jc_list = ['res://C:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123','res://D:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123','res://E:\\Program%

阅读全文>>

类别：Script Attack | 评论(0) | 浏览()

整整一周无网生活！

2010-03-11 20:50

从一个国家级的大局域网，到了一个省级的小局域网。这些天抽空就在看defcon2008的那堆尘封的paper，而且还做了笔记……真是个好习惯啊，从现在起继续保持。

我回来了！！！进展顺利。

顺便我也广播下我的微波：http://t.sina.com.cn/evilcos。饭否、叽歪永别了，唉！这就是悲剧！上面有我的回忆，你们都被退出了，我的数据还能要回么？法律有效么？可

阅读全文>>

类别：默认分类 | 评论(0) | 浏览()

关于条形码的xss/sql inj等等

2010-03-04 12:54

之前看到国外几篇文章都在写这个，还有一个Paper，忘记放哪了。

然后看到鬼的：http://www.woyigui.cn/barcode-xss/
mr_xhming的：http://hi.baidu.com/mr_xhming/blog/item/3641148ca261e619b31bba02.html
都在说这个，前段时间我也在xeye群内描述了条形码攻击的应用，这里也再提提吧。

说实话除了条形码本身外，几乎没啥新颖的，这里的输入点就是条形码识读器。输入的内容就是条

阅读全文>>

类别：Wireless | 评论(0) | 浏览()