第385期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎...
渗透测试之逻辑漏洞实战
0x01前言在渗透测试中,逻辑漏洞是一个必不缺少的一部分,以下是一些实战遇到的一些逻辑漏洞0x02开始入手第一:在测试逻辑漏洞前嗷,还是测试了其他漏洞,本来想略过的,但是在忘记密码处发现了一个神奇的点...
等保2.0测评:CentOS访问控制
请点击上面 一键关注内容来源:FreeBuf.COM 一、说明权限控制在等保测评里仅仅说了要求,但是怎么落地却基本没写,所以,我觉得还是有必要了解一下centos系统大概有什么方法可以实现...
低代码/无代码的十大安全风险
随着低代码/无代码开发平台激增以及被企业广泛使用,产业界提出了一个明确而紧迫的需求,即建立依赖此类平台开发的应用程序相关的安全和隐私风险意识。《OWASP 低代码十大安全风险清单》(以下简称“《清单》...
记一次简单的src挖掘
扫一扫关注公众号,长期致力于安全研究作者:Alpaca 转载至:https://xz.aliyun.com/t/117570x01 起开局一个登录框,简单测试了几个弱口令无果后注意力转到找回密码处先输...
漏洞利用开发的现状,第1部分
原文地址:https://www.crowdstrike.com/blog/state-of-exploit-development-part-1/ 翻译:梦幻的彼岸 内存损坏漏洞历来是一个优秀的红色...
实战 | 记一次简单的SRC漏洞挖掘
一.起开局一个登录框,简单测试了几个弱口令无果后注意力转到找回密码处先输入两个非法的参数点击获取验证码,抓包,查看响应代码返回0,前端显示未查询到账户信息再来一次,抓包并修改响应包,将0改为1,放包后...
五种不寻常的身份验证绕过技术
身份验证绕过漏洞是现代web应用程序中普遍存在的漏洞,也是隐藏最深很难被发现的漏洞。为此安全防护人员不断在开发新的认证方法,保障组织的网络安全。尽管单点登录(SSO)等工具通常是对旧的登录用户方式的改...
linux检测系统是否被入侵(上)
入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重...
XSS的原理和分类
xss呢就是在web页面插入一段恶意的script代码,用户浏览页面的的时候,嵌入web里的script代码就执行,然后就达到恶意攻击用户的目的。xss是针对用户层面的攻击。xss有三类:存储型、反射...
绕过短信验证码认证的方式
在实际的测试中,登录时通常可以使用账号密码登录以及短信验证码登录,账号密码的暴力破解,是否成功取决于用户使用的字典是否包含在你的攻击字典中,如果存在,则可以成功爆破,如果不存在则无法成功爆破,但这不是...
Go语言之道
近期阅读了John Arundel的文章《The Tao of Go[1]》,看完后我都有心去阅读一遍《道德经》了:)。作者将Go语言设计哲学与惯例与“道”学三宝有机的联系到一起,给了我不小的启发。这...
103