当今,网络系统面临着越来越严峻的安全挑战。在众多的安全挑战中,一种有组织、有特定目标、长时间持续的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat,高...
红日ATT&CK实战系列(二)
免责声明:涉及到的所有技术和工具仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透,否则产生的一切后果自行承担!一、环境搭建参考链接:https://www.codeprj.com/blog/d3...
网络安全产品之准入控制系统
随着企业信息化建设的不断深入,企业的各种信息资产越来越多,网络安全问题也越来越突出。如何防止外来电脑、移动设备接入局域网,保护企业信息资产的安全,成为企业网络管理的重要问题。准入控制系统的出现,为企业...
JWT的认证bypass
扫码领资料获网安教程通过PortSwigger上的JWT关卡来浅析学习下JWT token认证的绕过。BurpSuite中有一个JWT Editor Keys插件可以用来识别使用JWT认证的包,安装好...
实战纪实 | 记一次绕过宝塔的的文件上传
扫码领资料获网安教程本文由掌控安全学院 - caih 投稿前几天找到个可以上传任意文件的上传点,成功上传phpinfo页面并能访问,但是不能成功上传一句话,发现这台主机装了宝塔,经过反复尝试终于成功上...
什么是网络安全紫队?如何打造?
在网络安全领域,一些组织或企业的网络安全部门中,会存在同时由攻击方和防御方组成的团队,他们通过模拟真实网络攻击来测试和改进网络安全防御措施,而这种团队被称为紫队。但就目前而言,紫队的概念并非行业共识。...
【渗透测试】实战渗透!我是如何一个破站日一天的
感谢师傅 · 关注我们由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~使用关键词得到目标源码某日上午接到临时安排对某公司进行渗透测试,此次渗透...
如何快速判断客户端是否存在恶意连接
当我们需要判断一个客户端是否存在恶意连接,最直接的方式是通过防火墙或安全设备的日志进行分析,但由于各种原因,如相关特征库未及时更新,又或者没有完善相关的安全策略,导致没有监控到相关的恶意行为,这时...
一次项目上的渗透测试
免责申明本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。0x00 前言 在一天中午,自己正在...
【知识整理】内网渗透之目标不出网上线思路(1)
声明:请勿将文章内的相关技术用于非法目的,如有相关非法行为与文章作者和本公众号无关。0X01 简介经常会遇到目标不出网的情况,整理下让不出网目标上线的思路。0X02 实验环境Kali: 192....
渗透测试学习-实战某高校
扫码领资料获网安教程实战说明就是简单的挑了一个学校的站点进行了挖掘,受限于时间,没有对所有的进行测试,只对几个站点进行了测试,就已经有高危漏洞好几个了。实战详情这里涉及到一些高危漏洞未修复,就不指明域...
侧信道安全威胁举例分析
摘 要 侧信道攻击是一种广泛存在的安全漏洞,本文选择了其中的电磁泄漏和空口侧信道作为对象,分别列举了3种具有代表性的和较新的攻击方式,从攻击背景、攻击原理、技术路线和敏感性因素等方面进...
5512