最近一段时间都在审计 Java 代码,也算是积累了一些各式各样小技巧,但总感觉不够体系化。因此有必要先停下来,跳出业务逻辑并后退一步,更加深入地思考一下漏洞背后的成因。 前言 说到 URL 解析,想必...
02月15日7 views评论caucho
servlet
浅谈 URL 解析与鉴权中的陷阱
02月15日7 views评论caucho
servlet
02月15日7 views评论caucho
servlet
安全攻防之邮件钓鱼
安全攻防之邮件钓鱼1、准备工作域名:需要申请一个域名(尽量和目标域名相仿)来搭建邮箱服务器。服务器:本次服务器选择 racknerd(以Ubuntu22为例)。SMTP 服务器:使用iRedMail搭...
02月15日23 views评论主机名
安全攻防
攻击检测自动溯源分析技战法|大湾区金融安全专刊·安全村
互联网渠道近年来已成为金融企业交易的另一大主要渠道,相当一部分交易在互联网渠道进行。金融企业业务已经与互联网充分融合,面临的安全隐患更加复杂严峻,常规攻击持续演变、手段不断翻新,有组织、有规模的网络攻...
02月15日7 views评论互联网
威胁情报
web登录通杀渗透测试
一次web登录渗透 在渗透测试过程中,碰见的web登录页面特别多,那么我们应该用什么样的思路去进行一个测试呢,下面看看我的一些测试师思路ba 测试思路 当看见一个这样的web登录框时,会怎么样进行一个...
02月15日4 views评论js
账号
详解内网渗透之隧道搭建多级代理第二弹
漏洞原理 | CORS跨域学习篇
本文由掌控安全学院 - 帆先生 投稿 0x01:原理 1、 什么是CORS 全称跨域资源共享,用来绕过SOP(同源策略)来实现跨域访问的一种技术。 CORS漏洞利用CORS技术窃取用户敏感信息 2、 ...
02月15日13 views评论origin
浏览器
漏洞挖掘系列-某在线课程平台任意用户注册漏洞
---------------------------------------------------------------本文题干阅读时间推荐5min,练习推荐1h----------------...
02月15日11 views评论漏洞挖掘
用户注册
使用Proxifier玩转代理
0# 概述 在日常的渗透过程中,不管是前期的外部打点还是后渗透,代理总是绕不开的话题。在前期的外部打点过程中,扫描和渗透测试会不断受到WAF的拦截,需要不停的更换IP进行扫描和渗透测试;而在后期的后渗...
02月15日19 views评论ini
代理服务器
网络安全人士必知的IOA、IOB、IOC指标
网络安全中的指标(Indicators)是用于识别和量化潜在威胁、异常活动和恶意行为的信息或数据点。这些指标用于监测、检测和应对网络安全事件。在网络安全中,通常有三种关键类型的指标:攻击指标(IOA ...
02月15日安全百科9 views评论iOA
网络安全
价值3.5k的漏洞挖掘分享
免责声明:请勿利用文章内的相关技术从事非法测试,用于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使...
02月15日7 views评论漏洞挖掘
实战之巧用组件报错特性
Part1 案例遇到了2次还是3次了,忘了,这次拿近期的某省H攻防遇到的一个案例来分享已具备条件,具有某系统的任意文件写入漏洞,但该漏洞需要结合绝对路径来打,但是未知相应的绝对路径。(且再实战中遇到这...
02月15日4 views评论绝对路径
红蓝对抗实践下的十大网络安全配置错误
美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)最近联合发布了一份网络安全咨询,分享了大型组织中最常见的网络安全配置错误,该结果是由红蓝团队基于实践综合评估得出,咨询鼓励作为网络安全防御...
02月15日4 views评论网络安全
身份验证
5564