声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
实战 | 参数走私导致的权限绕过
https://forum.butian.net/share/2904 在实际业务中,通常会对请求参数进行解析并进行鉴权处理,来避免类似平行越权的风险。若解析请求参数时与Controll...
观点 | 视频生成人工智能Sora的法律问题研究
扫码订阅《中国信息安全》邮发代号 2-786征订热线:010-82341063文|北京师范大学法学院 宋锦近日,美国著名科技公司OpenAI推出了世界首个视频生成模型Sora,再度引发全球高度关注。前...
HowIHackedMyCar 2021款 现代IONIQ (二) Making a Backdoor
HowIHackedMyCar 2021款 现代IONIQ (一)本合集共7部分,本篇为第二部分来源:programmingwithstyle.com,感谢greenluigi1发布更新2022年4...
记一次内网渗透2
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦原文首发在:先知https://xz.aliyun.com/t/14364环境搭建:kali攻击机...
如何在渗透测试面试中解释/Kerberos
一 、 什么是 Kerberos?Kerberos 是迄今为止最常用的身份验证协议。它的设计理念是使用票证来提供对网络资源的访问,允许这些票证通过不安全的网络传递以证明身份,同时减少某些窃听和重放攻击...
安全态势管理的要素
为了有效且高效地管理网络安全的各个方面,让我们回顾一下在安全态势管理计划 中需要考虑的关键要素。访问控制:必须知道谁可以访问皇冠上的珠宝和重要资产。这包括用户身份验证、授权以及根据需要定期检查和更新访...
攻防演练中log4j2的简单利用-攻防演练
0x01 前言 仍记得是上上个月,突然来了一份报告,报告内容应该是前不久的一次攻防,学校的统一认证有个log4j,被漫游进了内网,现在客户就需要验证漏洞是否存在,快到下班点了,就随手照着...
渗透新思路 | 仿真环境下内存转储分析和模糊测试的全记录
更多全球网络安全资讯尽在邑安全本文由安全研究人员hugsy于2024年03月26日更新并发表于blahcat博客上,本文主要记录了其在进行内存安全和模糊测试任务时发现的一些技术实现方式,主要讨论的是仿...
针对MOXA的串口服务器的一次渗透测试
Moxa NPort W2150A 是一款专为工业应用而设计的以太网转串行服务器。它充当以太网和串行通信之间的桥梁,允许传统串行设备连接到现代以太网。串口服务器的使用寿命长达 20 年,通常在过时的固...
【OSCP】一个非常有趣的靶场-Casino
OSCP 靶场靶场介绍casinomediumffuz、ssrf 漏洞利用、ida 逆向、python 脚本编写、进程分析信息收集主机发现nmap -sn 192.168.1.0/24端口扫描┌──(...
一个25,000的RCE
目录 简介 背景介绍 选择目标 准备与设置 开始‘狩猎’ RCE 利用 继续尝试 发生了什么? 顺利获得赏金 结论 简介 国外研究人员在 ICON 上发现了一处 RCE 漏洞,但漏洞超出了漏洞赏金计划...
5564