水坑,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招...
一次通过漏洞挖掘成功渗透某网站的过程
起因我们的一个客户希望我们对其网站进行渗透测试,以发现其脆弱点并协助改进安全性。在拿到对方渗透测试授权之后,我们开始了对其网站的分析。寻找突破口对方主站是一个定制开发的CMS,在进行一系列扫描和分析之...
【安全事件】精准短信钓鱼频发,已有多个银行用户中招!
通告编号:NS-2021-00102021-03-04TAG:短信钓鱼、网站伪造、业务安全、安全意识事件危害:易造成用户信息泄露与资金损失。版本:1.01事件概述2021年2月至今,绿盟科技应急响应团...
这些 Linux 的“自动化”技巧,教你轻松完成任务
linux 系统的 web 网站在运营状态时,我们常需要对网站进行维护,例如查看资源剩余并做出响应、日志分割、数据整理,在特定状态执行特定任务等等,这些都会需要 linux能实现自动执行某些任任务。本...
漏洞挖掘 | 一次XSS和CSRF的组合拳进攻 (CSRF+JSON)
0x00 起因和一个高中同学聊天,无意间聊到了某个图片网什么?25一张?这么贵?本着乐于助人的精神,进网站看了看,鼠标右键确实被禁止了,不能保存图片但是审查元素后,可以清楚的看到图片的链接,而且还是高...
内网渗透之域环境渗透测试过程
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
[代码审计] PbootCms 留言Insert SQL注入漏洞分析
一、Cms初识:PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的PHP CMS源码,能够满足各类企业网站开发建设的需要。系统采用简单到想...
实战|记一次对学校网站的渗透记录
一、信息收集首先对网站的信息进行判断,可以很明显的判断出来是dedecms(织梦)鉴于织梦的漏洞比较多,我们先对网站的信息进行一下收集,再进行下一步的操作。在这里我们可以判断网站使用了安全狗的防护。我...
网络安全应急响应学习记录-接触
之前学习了很多理论知识与操作流程,但未进行实际验证,未避免"纸上谈兵"这一哲学问题出现,故今天“实战”验证下前期所学,不敢奢求太多,此文对伙伴们有稍许即可,更盼望伙伴可以引导与指正,共同学习、共同进步...
我是怎么找到通用漏洞的
本文作者:少年英雄宋人头﹀﹀﹀本周的某一天,夜班闲着没事干,就在漏洞盒子提漏洞玩(具体细节,不详细说明)1.最开始,找到一个网站,发现存在SQL注入漏洞2.然后随便点进去一个模块,发现网站页面域名发生...
python爬虫笔记:单个页面的爬取
前言 学习Python爬虫技术也是一件需要大量实践的事情,因为并不是所有的网站都对爬虫友好,更多的一种情况是网站为了限制爬虫不得不在最小化影响用户体验的前提下对网站访问做出一定的限制,最常见的就是一些...
原创干货 | 一次对某组织的应急响应
一次对某组织的应急响应 前言 前一阵子接到某平台被挂BC的求助,顺手帮他们看了下,没想到捡了几个过了市面上主流防护软件的马子,查了下资料,发现免杀的思路是真的骚 经过 首先观察下被挂BC的站点的环境和...
60