2 可用的安全性——基础当用户的行为不符合安全策略的规定时,大多数安全从业人员认为用户有过错:他们“只是不了解风险”或“太懒惰”。但研究表明,不合规(我们现在称为“规则弯曲”)是...
内网渗透神器-Viper的基本使用
戟星安全实验室 忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等本文约1200字...
近源攻击之BadUSB
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系刘一手请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
2022护网行动在即,关于护网的那些事儿
随着大数据、物联网、云计算的快速发展,愈演愈烈的网络攻击已经成为国家安全的新挑战,国家关键信息基础设施时刻受到来自网络攻击的威胁。网络安全的态势之严峻,迫切需要我们在网络安全领域具备能打硬仗的能力,“...
记首次HW|某地级市攻防演练红队渗透总结
文章来源:先知社区(walker1995)原文链接:https://xz.aliyun.com/t/11300前言 上周参加了某地级市为期七天的网络攻防演练对抗赛,总共14支攻击队。大概...
【2022HVV系列】|4-红蓝对抗经验小结
前言:这里的红蓝对抗不是军队之间的红蓝对抗,而是网络安全之间的红蓝对抗。因为只有知道敌人如何进攻,我们才能更好的防守。红蓝对抗是一个持续性的过程,敌人的攻击手段不断变换,不断进步,我们的防御也要不断的...
G.O.S.S.I.P 阅读推荐 2022-04-27
今天继续回归NDSS 2022,带大家看一篇Android安全的论文,这篇论文关注了Android设备上对用户的物理输入进行劫持,以零权限发起攻击的恶意行为在本文中,作者调查了PHYjacking攻击...
实战绕过阿里云WAF
原创文章渗透实现渗透技术原创声明:转载本文请标注出处和作者,望尊重作者劳动成果!感谢!前言:下面的漏洞挖掘案例,将会用到上篇提到的几个挖掘技巧。1、我发现目标站点是存在传参回显的,我在参数school...
挖 SRC 不用收集信息啦
在挖 SRC 之前,首先是选择目标企业,比如最近有几家 SRC 一起做活动,可以作为挖 SRC 的目标,有了目标之后就是做前期的信息收集,主要收集边界的资产信息,毕竟光有大目标不行,还得有小目标,比如...
如何在Bugcrowd公共项目中找到50多个XSS漏洞
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍:今天的分享来自一位名为Taksh...
来分析下成为红队成员需要那些基础技能
首先红队是什么?红队是通过模拟真实黑客攻击目标企业,尽可能多的获取目标权限,然后整理整个模拟攻击方案和利用的弱点,从而让目标企业根据模拟入侵的结果和过程,来做针对性的防御。如果你的企业很久没有发现攻击...
挖掘0day的一些思路技巧
好久不见!1.前言待审计应用根据访问权限划分一般有以下几种情况:仅源码: 我们仅拥有目标的源代码,通常不包含完整的编译和测试环境,而且由于缺乏必须的关键依赖组件,往往无法构建出可运行的程序。这种情况一...
26