Intents 和 Activity Activity 是应用程序的主要入口,针对其攻击首先需要知道哪些 Activity 是可以交互的,可以通过查看 AndroidManifest.xml 文件找到...
遭遇黑客攻击后,许多企业仍保持沉默,这无疑是个隐患
点击上方“蓝色字体”,选择 “设为星标”关键讯息,D1时间送达!在网络安全领域,时机至关重要,当漏洞发生时,企业响应的速度和公开程度会极大地影响结果,尽早公开可以加速恢复、降低法律风险并有助于维护客户...
微软MSRC的漏洞情报剽窃策略
在信息安全的世界里,“原创”是发现零日漏洞(Zero-day)研究者的桂冠。然而,在微软安全响应中心(MSRC)的运作模式中,一种独特的、堪称“剽窃”的策略,正成为其提升Windows平台安全性的核心...
某站点getshell
forever young不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人01背景安全小白团说到现代Web技术,SOAP(简单对象访问协议)可能不会是你首先想到...
从SOAP到Shell:利用SOAP服务实现完全管理员账户接管(近乎RCE的漏洞)
forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人01 背景 安全小白团 说到现代Web技术,SOAP(简单对象访问协议)可能不会是你...
透明牢笼(Glass Cage)行动攻击链技术解构
本文件旨在对“Glass Cage”攻击行动进行详细的技术解构。分析表明,在精确的逻辑漏洞利用面前,当前主流的移动安全架构依然存在可被利用的系统性缺陷。此攻击的执行不依赖任何密码学破解,也无需目标进行...
BE-BerylEnigma【集常用的加密与编码功能的渗透测试工具包】
红蓝对抗中,红队得想尽办法突破蓝队防线,蓝队则要全力防守。在这个过程中,加密、编码和解码的活儿特别多。每次碰到要处理身份认证、加密数据或者转换编码格式的时候,我都得在好几个工具之间来回切换,效率特别低...
API安全浅析
一、什么是APIAPI通过定义一组函数、协议、数据结构,明确应用程序中各个组件之间通信与数据交互方式。将Web应用、操作系统、数据库以及计算机软硬件的能力以接口的形式提供给外部使用。API技术解决的是...
突破常规!文件上传漏洞的6大隐蔽攻击面(多个高危场景剖析)|挖洞技巧
0x01 前言本文系统梳理文件上传相关漏洞挖掘思路,从下载、读取、上传到导出,覆盖各类攻击场景,帮助安全研究者快速定位并利用这些漏洞,包括任意文件读取、路径穿越、XXE等高危场景,并提供实用的测试方法...
揭秘互联网暴露面与攻击面
随着互联网的飞速发展,网络安全问题日益成为企业和个人关注的焦点。今天,我们就来聊聊网络安全中的两个重要概念——互联网暴露面和攻击面,以及它们之间的区别。 什么是互联网暴露面? 想象一下,你的家有一扇窗...
开源的攻击面和资产发现的工具
说正经的,咱们做安全的都懂,每次zb前最头疼的就是资产梳理。传统方法要么靠运维交清单(别笑,去年真有人把开发机当生产环境备案),要么用Nmap挨个扫(试过凌晨三点扫金融城的兄弟请举手)。这时候Amas...
突破常规!文件上传漏洞的6大隐蔽攻击面(多个高危场景剖析)
0x01 前言 本文系统梳理文件上传相关漏洞挖掘思路,从下载、读取、上传到导出,覆盖各类攻击场景,帮助安全研究者快速定位并利用这些漏洞,包括任意文件读取、路径穿越、XXE等高危场景,并提供实用的测试方...