Image Cover
Avatar

Sun* Cyber Security Team

level partner

Nhà sáng tạo nội dung hạng Vàng

Let's hack all the things!

Bài viết được ghim

Giới thiệu

WordPress là một hệ thống quản lý nội dung (CMS) phổ biến trên thế giới, được sử dụng rộng rãi cho việc xây dựng và quản lý các trang web và blog. Với giao diện người dùng dễ sử dụng và một cộng đồng đông đảo, WordPress đã trở thành một lựa chọn phổ biến cho cả người mới bắt đầu và những người có kinh nghiệm trong việc tạo nội dung trực tuyến.

Một trong những lợi ích lớn nhất của W...

4.3K
11
2 1

Tất cả bài viết

Thumbnail Image
4.6K
13
5 0
Avatar huy hoang nguyen thg 1 31, 8:33 SA
13 phút đọc

Hướng dẫn cơ bản về Cheat Engine (Phần 1)

Giới thiệu về Cheat Engine (CE) Cheat engine là một phần mềm công khai mã nguồn (khác với mã nguồn mở) tạo ra bởi Eric Heijnen cho hệ điều hành Windows vào năm 2008. Nó cung cấp nhiều tính năng mạnh mẽ giúp bạn can thiệp và chỉnh sửa các game offiline để làm cho chúng khó hơn hoặc dễ hơn tùy sở thích của bạn (ví dụ: 100 HP quá dễ, hãy thử chơi trò chơi với 1 HP 🥶) , đồng thời còn chứa các công...

Thumbnail Image
3.5K
13
1 0
Avatar Tran Minh Nhat thg 1 29, 8:29 SA
7 phút đọc

Tìm hiểu về lỗ hổng bảo mật của Deep Link

[IMG]

  1. Deep Link là gì Deep linking là một tính năng quan trọng trong phát triển ứng dụng di động, giúp tối ưu hóa trải nghiệm người dùng và tăng cường tương tác với ứng dụng. Deep linking cho phép liên kết trực tiếp đến một màn hình cụ thể hoặc nội dung trong ứng dụng, thay vì phải mở ứng dụng từ trạng thái ban đầu, chuyển qua một số màn hình, bấm một vài lần để đến được màn hình mình muốn.

Deep...

Thumbnail Image
3.9K
19
4 1
Avatar Minh Tuấn Ngụy thg 1 19, 8:14 SA
9 phút đọc

LLM Hacking: Prompt Injection

LLM (Large Language Model) Large Language Models (LLM) là chủ đề bàn tán mạnh mẽ trên toàn thế giới từ cuối năm 2022 khi chatGPT release. LLM là các thuật toán AI có thể xử lý thông tin đầu vào của người dùng và tạo ra các phản hồi hợp lý bằng cách dự đoán các chuỗi từ. Chúng được đào tạo trên một lượng lớn dữ liệu semi (tức dữ liệu có nhãn và không có nhãn), dùng Machine Learning sử dụng data ...

Thumbnail Image
4.3K
11
2 1
Avatar Ngocanh Le thg 12 26, 2023 10:10 SA
13 phút đọc

Fantastic Bug (in Wordpress Plugin) and where to find them

Giới thiệu

WordPress là một hệ thống quản lý nội dung (CMS) phổ biến trên thế giới, được sử dụng rộng rãi cho việc xây dựng và quản lý các trang web và blog. Với giao diện người dùng dễ sử dụng và một cộng đồng đông đảo, WordPress đã trở thành một lựa chọn phổ biến cho cả người mới bắt đầu và những người có kinh nghiệm trong việc tạo nội dung trực tuyến.

Một trong những lợi ích lớn nhất của W...

Thumbnail Image
4.5K
7
2 0
Avatar Bụng Rỗng thg 12 22, 2023 7:58 SA
11 phút đọc

Leo thang đặc quyền ngang trên Windows

Chiếm quyền truy cập vào một Server hay một Client trong một hệ thống mạng nội bộ chỉ là bước đầu tiên trong quá trình xâm nhập điển hình. Khi chúng ta có quyền truy cập ban đầu, mục tiêu của chúng ta là xâm phạm càng nhiều càng tốt tài sản của tổ chức, để từ đó có được quyền truy cập đặc biệt hơn hoặc có đặc quyền truy xuất các thông tin bí mật.

Một chiến dịch sử dụng email độc hại được gửi...

Thumbnail Image
5.3K
26
8 1
Avatar Minh Tuấn Ngụy thg 12 22, 2023 6:58 SA
5 phút đọc

Có hàng ngàn bí mật được giấu trong Docker Hub!

Docker Hub là gì? Docker Hub là kho lưu trữ trên cloud dành cho cộng đồng Docker để lưu trữ, chia sẻ và phân phối Docker Image. Các Docker Image này sau khi chạy sẽ trở thành container, bên trong bao gồm tất cả các source code phần mềm cần thiết, thời gian chạy, thư viện, biến môi trường và tệp cấu hình để dễ dàng triển khai một ứng dụng trong Docker. Docker Hub là một registry lớn nhất sử dụng...

Thumbnail Image
5.5K
10
5 0
Avatar Ngo Van Thien thg 12 8, 2023 9:48 SA
9 phút đọc

Chiến dịch giả mạo CVE để tấn công website Wordpress (CVE-2023-45124)

I. Tổng quan Mấy ngày gần đây các trang web lớn về bảo mật cho Wordpress rộ lên thông tin về một chiến dịch tấn công mới của kẻ xấu nhắm tới người dùng quản trị các website chạy Wordpress. Kẻ xấu lợi dụng các trang web phishing và các email phishing để nhắm tới quản trị viên nhằm yêu cầu họ cài đặt một plugin để tiến hành cập nhật bản vá lỗ hổng bảo mật CVE-2023-45124 - Remote Code Execution (...

Thumbnail Image
5.1K
10
1 0
Avatar Ngocanh Le thg 12 2, 2023 5:36 CH
12 phút đọc

Insecure Serialization and new Gadgets in .NET framework (P1)

Giới thiệu Quá trình deserialize dữ liệu không đáng tin cậy đã trở thành một trong những lỗ hổng bị lạm dụng nhiều nhất trong các ngôn ngữ lập trình. Nó đã thu hút sự chú ý lớn vào năm 2015, khi Gabriel Lawrence và Chris Frohoff trình bày một bài talk về các cuộc tấn công liên quan đến quá trình deserialize ở Java. Trong trường hợp của .NET, có lẽ white paper đầu tiên liên quan đến quá trình de...

Thumbnail Image
5.9K
11
6 5
Avatar Bụng Rỗng thg 11 30, 2023 2:58 CH
10 phút đọc

Giả lập tấn công mạng với Infection Monkey

Có nhiều phương pháp để đánh giá lỗ hổng bảo mật toàn diện của một hệ thống, điển hình trong số đó là Red Team. Một nhân sự có các kỹ năng cần thiết sẽ đóng vai trò như một Hacker hay một nhân viên nội bộ có ý đồ xấu, cố gắng khai thác điểm yếu của tổ chức để lấy đi các dữ liệu quan trọng. Qua thời gian,có nhiều công cụ ra đời phục vụ mục đích này và ngày càng được tối ưu hóa.Infection Monkey...

Thumbnail Image
5.3K
18
6 0
Avatar Minh Tuấn Ngụy thg 11 28, 2023 8:20 SA
10 phút đọc

Phòng chống Race Condition trong Django

Bài viết được viết lại theo ý hiểu của người viết, nội dung chủ yếu được lấy từ bài viết gốc https://mp.weixin.qq.com/s/9f5Hxoyw5ne8IcYx4uwwvQ của tác giả @phith0n

Lỗ hổng Race Condition là một lỗ hổng bảo mật, xảy ra khi hai hoặc nhiều luồng (threads) hoặc quy trình cùng truy cập và thay đổi dữ liệu chia sẻ mà không có cơ chế kiểm soát. Điều này có thể dẫn đến tình trạng không đồng bộ và gây ...

Thumbnail Image
6.5K
12
2 2
Avatar Tran Minh Nhat thg 11 1, 2023 7:07 SA
7 phút đọc

Lỗ hổng bảo mật trong WebView ở các ứng dụng Android

  1. WebView là gì? Có những lần chúng ta bấm vào một đường link trên Facebook, Messenger,... sau đó trang web là đích đến của đường link đó được hiển thị cho chúng ta xem qua một giao diện ở ngay trên ứng dụng Facebook, Messenger,... Chúng ta cũng có thể tương tác với trang web đó y như khi sử dụng trình duyệt. Đó chính là nhờ WebView.

WebView là một tính năng cho phép lập trình viên có thể "n...

Thumbnail Image
6.4K
16
5 0
Avatar Nguyen Anh Tien thg 10 31, 2023 9:43 SA
8 phút đọc

Giới thiệu Caido: đối thủ tiềm năng của Burp Suite

Giới thiệu

Từ lâu nay, khi nói đến công cụ chính mà các pentester sử dụng cho việc kiểm thử bảo mật thì chúng ta không thể không nhắc đến Burp Suite (và đặc biệt là bản Pro). Trải qua rất nhiều lần cập nhật từ phiên bản 1.7 cho đến khi thay đổi hoàn toàn giao diện, Burp đã được trang bị thêm rất nhiều tính năng mới như BCheck, Organizer, thay đổi toàn diện UI và cải thiện Burp Scanner, vân vân...

Thumbnail Image
6.1K
11
3 2
Avatar Nguyen Xuan Chien thg 10 30, 2023 6:38 SA
13 phút đọc

Giới thiệu về kiểm thử xâm nhập (phần 6): Persistence

Mở đầu Trong những phần trước của chuỗi bài viết về kiểm thử xâm nhập, chúng ta đã khám phá các bước pre-exploit, tập trung vào việc phát hiện và tận dụng lỗ hổng để tiếp cận hệ thống mục tiêu. Bài viết này tập trung vào những gì xảy ra sau khi chúng ta đã thành công trong việc tìm và khai thác lỗ hổng. Chúng ta sẽ bắt đầu với chủ đề Persistence. Persistence Trong lĩnh vực kiểm thử xâm nhập, ch...

Thumbnail Image
6.5K
18
12 0
Avatar Tran Minh Nhat thg 10 29, 2023 3:26 CH
9 phút đọc

Cookie và cách bảo vệ chúng

[IMG]

Cookie? Là gì? Để làm gì? Giao thức HTTP là một giao thức kết nối ngắt quãng. Client gửi yêu cầu tới Server, và Server sẽ phản hồi lại thông tin cho Client. Sau khi gửi phản hồi về cho Client thì kết nối giữa Client và Server sẽ kết thúc tại đây, giữa Server và Client không còn duy trì kết nối. Và HTTP cũng là giao thức không trạng thái, do Server không lưu trữ lại thông tin của các lần kết nố...

Thumbnail Image
6.0K
9
3 0
Avatar Ngo Van Thien thg 10 27, 2023 10:05 SA
9 phút đọc

GraphQL - Hiểu để hack (Phần 3)

I. Tổng quan Ở 2 phần trước chúng ta đã tìm hiểu về cấu trúc, cách thức hoạt động và một số lỗ hổng bảo mật thường gặp trong các ứng dụng sử dụng graphql api. Ở phần 2, chúng ta cũng đã tìm hiểu một số phương pháp tiếp cận và khai thác lỗ hổng của ứng dụng grapql api:

  • Finding GraphQL endpoints: Tìm kiếm thông tin api endpoints
  • Exploiting unsanitized arguments: Khai thác lỗ hổng không valid...
Thumbnail Image
6.4K
10
2 0
Avatar Ngocanh Le thg 9 30, 2023 2:12 CH
7 phút đọc

Bạn đã biết về lỗ hổng Class Pollution trong Python hay chưa (P2)?

Phần 1 của bài viết mình đã publish khá lâu trước đó. Đây là link phần 1 cho bạn nào chưa đọc. https://viblo.asia/p/ban-da-biet-ve-lo-hong-class-pollution-trong-python-hay-chua-p1-3kY4g5zxLAe.

Ở phần 2 này, mình sẽ trình bày và giải thích 1 số gadget, 1 số case thực tế của lỗ hổng này. Tuy lỗ hổng này chưa thực sự có impact gì nhiều (ít ra cho đến thời điểm hiện tại) nhưng theo quan điểm cá nh...

Thumbnail Image
8.7K
13
5 0
Avatar Ngo Van Thien thg 9 29, 2023 3:55 SA
13 phút đọc

GraphQL - Hiểu để hack (Phần 2)

I. Lỗ hổng của GraphQL API

Những lỗ hổng của GraphQL thường phát sinh do lỗi triển khai và thiết kế. Ví dụ, tính năng introspection có thể được bật, cho phép kẻ tấn công truy vấn API để thu thập thông tin về cấu trúc của nó.

Thường thì các cuộc tấn công vào GraphQL có thể cho phép kẻ tấn công truy xuất dữ liệu hoặc thực hiện các hành động không được phép nhằm khai thác hoặc chỉnh sửa dữ liệu ...

Thumbnail Image
7.9K
15
4 0
Avatar Tran Minh Nhat thg 8 29, 2023 8:14 SA
10 phút đọc

PHẢI BẠN KHÔNG? CÙNG SỬA NHÉ: những lỗi khi sử dụng quyền truy cập của Android

!!! Đây là một bài dịch Việt hoá, có thêm thắt một chút để nội dung dễ hiểu hơn. Bài viết gốc: https://blog.oversecured.com/Common-mistakes-when-using-permissions-in-Android/

Trong quá trình phát triển ứng dụng và khi thực hiện kiểm thử xâm nhập theo check list MSTG của OWASP chúng ta cần chú ý tới việc xin cấp quyền cho ứng dụng Android. Nội dung chính mà chúng ta sẽ thảo luận trong bài viết ...

Thumbnail Image
8.3K
12
5 1
Avatar Nguyen Xuan Chien thg 8 28, 2023 7:27 SA
14 phút đọc

Kubernetes Hacking Phần 2: Cài đặt và triển khai ứng dụng

  1. Giới thiệu Trong phần trước của series "Kubernetes Hacking," chúng ta đã cùng nhau tìm hiểu về cơ bản về Kubernetes - một hệ thống quản lý container mạnh mẽ và phổ biến. Chúng ta đã khám phá kiến trúc tổng quát của Kubernetes, các khái niệm quan trọng như Pods, Services và Deployments, cùng với tầm quan trọng của việc bảo mật hệ thống Kubernetes.

Trong phần 2 chúng ta sẽ đi vào việc thực hi...

Thumbnail Image
9.1K
15
10 0
Avatar Nguyen Xuan Chien thg 7 25, 2023 7:22 SA
18 phút đọc

Kubernetes Hacking Phần 1: Tìm hiểu cơ bản về Kubernetes

Chào mừng đến với series "Kubernetes Hacking"!

Kubernetes đã trở thành một trong những công cụ phổ biến nhất để triển khai và quản lý ứng dụng container trên các môi trường đám mây, nhưng đồng thời cũng là một mục tiêu hấp dẫn cho các cuộc tấn công bảo mật. Việc hiểu rõ về cách hoạt động và các nguyên tắc bảo mật của Kubernetes là vô cùng quan trọng để đảm bảo an toàn cho hệ thống của chúng ta...

Thành viên nổi bật
Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí