说明子域名是某个主域的二级域名或者多级域名,在防御措施严密情况下无法直接拿下主域,那么就可以采用迂回战术拿下子域名,然后无限靠近主域。例如:www.xxxxx.com主域不存在漏洞,并且防护措施严密,...
洞见简报【2022/5/24】
2022-05-24 微信公众号精选安全技术文章总览洞见网安 2022-05-240x1 实战经验 | Vultr快速部署OpenVPN代理HACK技术沉淀营 2022-05-24 22:0...
发件人伪造和防御原理
前言:之前有写过发件人伪造的文章,链接如下https://mp.weixin.qq.com/s/PegHa-wvRxwEbC67ondrLA蹭一波热点1.SPF要了解什么是发件人伪造,就得先知道SPF...
神兵利器 | 分享个云泄露利用检测Tools(附下载)
0x00 前言文章来源:GitHub项目地址:https://github.com/UzJu/Cloud-Bucket-Leak-Detection-Tools分享个GitHub不错的项目:六大云存储...
浅析DNSlog在渗透测试中的实战技巧
前言SSRF 盲打XSS的盲打XXE的盲打SQL的盲注RCE的盲打总结前言在某些无法直接利用漏洞获得回显的情况下,但是目标可以发起 DNS 请求,这个时候就可以通过这种方式把想获得的数据外带出来。DN...
攻防演练实战派 | 网络空间资产盘点十大“避坑”指南!
国家级攻防演练是涉及国家级关键信息基础设施的大事,今年也是《关键信息基础设施安全保护条例》落地的第一年,所以攻防演练就更成为大家关注的焦点。知道创宇历次参与国家级攻防演练,展现不俗能力的同时,也收获了...
干掉广告和高速下载器,拦截木马回连,混合办公就用ta
0、前言:安静的办公室里,同事们紧张地赶项目进度,突然传来一阵“销魂”的声音!原来是某个老哥误点了弹窗的骚扰广告。嘘声一片后,工作继续进行:项目已经进入开发末期,再赶赶工,就可以交付了。临近下班时,这...
攻击者伪造WhatsApp语音通知来窃取信息
研究人员发现,恶意攻击者在钓鱼活动中伪造了来自WhatsApp的语音信息通知,并且利用了合法的域名来传播恶意软件窃取信息。云电子邮件安全公司Armorblox的研究人员发现了攻击者针对Office 3...
邮箱钓鱼那些事
最近公司准备模拟一次邮箱钓鱼来判断公司员工整体的安全意识。本来以为是一件很简单的事情,在实施的过程中却遇到了各种各样的问题。简单记录一下,供大家参考,同时大家对于邮箱钓鱼有什么好的想法(操作),欢迎大...
AI技术应用实践——DNS隐蔽隧道检测
引言 近年来,AI技术持续应用在网络安全领域,通过数据学习总结,提高对潜在威胁的检测能力,不断强化现有安全产品。在此背景下,迪普科技深度使用AI技术赋能产品及解决方案,迪普科技先知威胁感知大...
SecRank更新|Top1M域名一键免费下载
近日,亚马逊旗下网站排名服务网站Alexa.com于2022年5月1日宣布正式停用。 域名排名在内容研究、竞争分析、关键词研究等领域一直占据不容忽视的地位。奇安信技术研究院研究员提出了一种基于投票的域...
宝塔国内版已知收集的隐私信息
怎么传的越来越邪乎了. acme_v2.py 只有执行签发 SSL 证书的时候才会访问宝塔的域名.不会主动访问. site_task.py 传的是部分服务器信息(客户端,面板访问路径.).不会传用户 ...
54