RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

powershell免杀思路分析

# powershell免杀思路分析 ## 写在前面 powershell做为微软windows系统自带的软件包,具有十分强大的功能,Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者...

  • 5
  • 3
  • Honeypot
  • 发布于 2021-12-01 09:49:46
  • 阅读 ( 7838 )

页面篡改安全事件应急流程

当发生了页面篡改等安全事件后,身为应急响应人员该如何开展相应的工作呢?

  • 8
  • 3
  • 夜无名
  • 发布于 2021-11-24 09:36:51
  • 阅读 ( 8571 )

对某公司一次弱口令到存储型xss挖掘

# 免责声明: ## 渗透过程为授权测试,所有漏洞均以提交相关平台,博客目的只为分享挖掘思路和知识传播** # 涉及知识: xss注入及xss注入绕过 # 挖掘过程: 背景: 某次针对某目标信息搜集无意...

应急响应之钓鱼邮件

自电子邮件发明以来,网络钓鱼攻击一直困扰着个人和组织。钓鱼邮件攻击是黑客用来渗透受害者帐户和入侵网络的最常用方法之一。黑客会利用一些热点事件,比如新冠病毒疫情、娱乐八卦、春节假期等重大事件,精心构造了一封足够真实的钓鱼邮件,我们越希望了解最新动态,就越容易提高网络钓鱼攻击的成功率。在钓鱼邮件中,黑客会让受害者试图点击或重定向到一个具有欺骗性的钓鱼网站,欺骗用户输入敏感信息,泄露帐户密码。

如何利用文本向量化与集成学习实现相似网页分类

“网络空间测绘”是近几年出现的概念,被大家炒得非常热门。从狭义上来看,网络空间测绘主要指利用网络探测、端口探活、协议识别等技术,获取全球网络实体设备的信息,以及开放服务等虚拟资源的信息。通过设计有效的关联分析规则,将各类资源分别映射至地理、社会、网络三大空间,并将探测结果和映射结果绘制成一张动态实时的网络空间地图。

Java安全之ClassLoader浅析

# 前言 审核能过的话会有续集?应该是的 原谅我的渣英语,命名都是随便的 本篇所有代码及工具均已上传至gayhub:https://github.com/yq1ng/Java # ClassLoader概述 Java这语言...

web攻击应急响应

# web攻击应急响应 ## 写在前面 随着 Web 技术不断发展,Web 被应用得越来越广泛,现在很多企业对外就一个网站来提供服务,所以网站的业务行为,安全性显得非常重要。当网页发生篡改、服务器...

  • 1
  • 3
  • Honeypot
  • 发布于 2021-11-05 09:28:14
  • 阅读 ( 8489 )

这个鉴权到底能不能绕

我在绕过这样鉴权时,有时候成功有时候却是 404, 这让我很疑惑。

  • 3
  • 3
  • JOHNSON
  • 发布于 2021-11-02 10:25:10
  • 阅读 ( 8673 )

Linux应急响应篇

本章继续对linux操作系统中应急响应的基础技术分析能力做一下介绍.

  • 8
  • 3
  • 阿蓝
  • 发布于 2021-10-29 14:54:19
  • 阅读 ( 8226 )

Web 应用指纹分析思路

Web 指纹识别虽然已经是老生常谈的话题,但其在漏洞挖掘 / 漏洞治理的过程中仍然有着举足轻重的作用。本文中将着重分析下指纹识别体系建设的一些维度和实现思路。

  • 2
  • 3
  • jweny
  • 发布于 2021-10-11 13:58:47
  • 阅读 ( 6866 )

分析流量入门篇

#写在前面 最近参加了首届陇剑杯,和往常的CTF不太一样,题目基本都是流量分析类型的,我也是第一次接触这方面,还挺有意思的。写的不好的地方请各位师傅多多指正~这里要感谢共同参与比赛的几...

  • 4
  • 3
  • Johnson666
  • 发布于 2021-10-05 18:48:08
  • 阅读 ( 7521 )

HAProxy请求走私漏洞(CVE-2021-40346)分析

本文主要分析如何通过一个整数溢出来进行http请求走私,并构建环境复现,介绍此漏洞的利用方式与危害。

  • 2
  • 3
  • donky16
  • 发布于 2021-09-22 11:10:02
  • 阅读 ( 10175 )

BurpSuite Trick ALL In ONE (第一版)

BurpSuite 是一款Web安全研究人员、渗透测试人员和BugHunter的工具,在实际使用的时候一些小Trick将会帮助你更高效的使用这款工具,本文是在看到 Twitter上@sec_r0 开启的一个话题 #BurpHacksForBounties 之后基于他提到的一些trick进行扩展之后撰写的,在撰写的途中融合进了个人在使用BurpSuite时的一些trick和想法,也参考了众多文章,本篇为第一版,随后再有更多Trick的话会继续更新下一版。

  • 7
  • 3
  • z3
  • 发布于 2021-10-11 16:50:03
  • 阅读 ( 12671 )

从RFC看如何使用Base64编码绕过WAF

本文将查看RFC4648对于base64编码的规范,并选取多种base64解码器分析其在实现上的不规范性,并如何通过这种不规范来绕过WAF。

  • 3
  • 3
  • donky16
  • 发布于 2021-09-09 16:27:59
  • 阅读 ( 7270 )

渗透测试之批量刷洞技巧

恰逢七夕活动,可以玩批量刷洞,这里分享下我的技巧给大家,希望下次再出这类活动可以给大家一点帮助哈哈

  • 9
  • 3
  • soufaker
  • 发布于 2021-08-31 18:40:37
  • 阅读 ( 8443 )

java中js命令执行的攻与防

研究java中利用js的命令执行

  • 0
  • 3
  • Tri0mphe
  • 发布于 2021-08-25 16:15:02
  • 阅读 ( 7246 )

记一次HW供应链攻击到SQL注入新用法

# 0.前言 在参加某市攻防演练的时候,发现目标站,经过一系列尝试,包括弱口令、SQL注入等等尝试后,未获得到有效的入口点。在准备放弃之时,看到页脚的banner:xxxxx信息科技有限公司 [!...

  • 1
  • 3
  • Alivin
  • 发布于 2021-08-24 14:42:55
  • 阅读 ( 5920 )

从PDO下的注入思路到Git 2000 Star项目0day

从PDO下的注入思路到Git 2000 Star项目0day

  • 3
  • 3
  • J0o1ey
  • 发布于 2021-08-27 10:58:21
  • 阅读 ( 5454 )

优雅地寻找网站源码(一)

# 优雅地寻找网站源码(一) ## 0x0 前言 ​ 渗透过程中如果能获取到网站的源代码,那么无疑开启了上帝视角。虽然之前出现过不少通过搜索引擎查找同类网站,然后批量扫备份的思路,但是却没...

  • 8
  • 3
  • xq17
  • 发布于 2021-08-09 13:31:31
  • 阅读 ( 6919 )

代码审计-从0到1通读源码

## 0x00前言: 本文使用wodecms 代码下载链接:http://zjdx.down.chinaz.com/201709/wodecms_v1.1.zip 我们在审计之前,要摸清楚整套源码的结构,例如mvc的走势,函数等,而且还要对漏洞熟悉,...

  • 4
  • 3
  • 修仙者
  • 发布于 2021-07-24 14:25:22
  • 阅读 ( 8157 )