年终于快要过完了,这段时间忙着过年,也没有学习一些新技术,但是有个好处就是有空闲时间来干自己想干的的事情。于是乎准备挖挖edusrc。上次在edusrc交洞还是几个月前的事情了,这次回来发现礼品中心上...
网络安全知识:每年渗透测试几次合适?
渗透测试和盲点对于拥有 3,000 名或更多员工的组织来说,拥有超过 10,000 项互联网连接资产是很常见的,但是 36% 的调查受访者表示渗透测试仅涵盖 100 项或更少的资产;58% 的受访者表...
五种快速打点和信息收集工具
快速打点工具1 水泽-信息收集自动化工具项目地址:https://github.com/0x727/ShuiZe_0x727功能及命令:python3 ShuiZe.py -d domain.com收...
漏洞管理十大度量指标
漏洞管理度量体系尚是空白当前,网络安全漏洞所带来的风险及产生的后果,影响到网络空间乃至现实世界的方方面面,通信、金融、能源、电力、铁路、医院、水务、航空、制造业等行业各类勒索、数据泄露、供应链、钓鱼等...
FOFA实战攻防对抗中企业安全运营场景下的应用(一)
正文共:7510 字 24 图 预计阅读时间:19 分钟▌前言我所在的公司是一家具有多方视角的公司,既是安全服务提供商(乙方)、也是管理自己集团资产安全的管理者(甲方),同时还是...
一款红队大量资产指纹探测工具|附下载地址
Finger定位于一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具。在面临大量资产时候Finger可以快速从中查找出重点攻击系统协助我们快速展开渗透。实际效果URL批量扫描效果如下:调用api...
APP漏洞挖掘(一)某下载量超101万的APP有几个漏洞可以GetShell?
过完阴雨绵绵的十一国庆,才知道自己有APP漏洞挖掘任务,10月就剩下18个工作日,除去做项目、一些其他的工作,挖洞的时间只剩一周多,看来又要熬夜了,任务艰巨呐~从开始的迷茫、啥思路也没有,甚至两三天从...
对180+的SRC收集约300w相关资产后的简单分析
资产分析前言这个算是上一篇xray分析的后续,原本想写的内容有很多,在整理期间用的bug笔记接连两次出问题,好多笔记内容全乱了,心态爆炸,后取了其中相对直观的内容,写成了对现有结果简单的分析统计文章。...
网络攻防实战的战术思考|证券行业专刊·安全村
“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量”,网络安全的实战能力已成为常态化目标。类比来看,网络空间的对抗就如同军事的战争、战役、战斗,本文结合实战对抗的案例探讨网络攻防实战中的一些战术思...
工具推荐篇:红队信息收集快速打点工具
免责声明本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。一、前言攻防演练的时候,想必红队的小伙伴们都会碰到一个问题,就是资产太多,如何在前期打点上占尽优势...
超实用的SRC实战经验分享
SRC混子的漏洞挖掘之道一个SRC混子挖SRC的半年经验分享~,基本都是文字阐述,希望能给同样在挖洞的师傅们带来一点新收获。前期信息收集还是那句老话,渗透测试的本质是信息收集,对于没有0day的弱鸡选...
漏洞管理方案的最佳实践
漏洞管理方案可以采取以下四个步骤,其中每个步骤中都包含若干个子任务:1、网络资产的发现与盘点2、资产分类与任务分配(1)确定资产风险程度(2)资产所有者(3)扫描频率3、对已知资产中漏洞的发现(1)漏...
20