确定第三方基础设施服务 基础设施服务包括操作通信环境所需的硬件、软件和网络资源。这个基础设施可以由第三方而不是拥有它的组织管理。 检测 可通过常见防御检测(是/否/部分): 否 解释:数据在本质上是被...
黑客利用 Facebook 引诱受害者,向俄罗斯发送现金
新发现的名为 Savvy Seahorse 的威胁行为者创建了虚假投资平台,在 Facebook 的帮助下引诱受害者,并将不义之财转移到俄罗斯国有银行。 Infloblox 的威胁情报小...
一文带你搞懂 CDN 的技术原理
一、什么是 CDNCDN 的全称是 Content Delivery Network,即内容分发网络。其目的是通过在现有的Internet中增加一层新的CACHE(缓存)层,将网站的内容发布到最接近用...
实战 | 记一次赏金2000美元的子域名接管漏洞挖掘
目标今天,我将分享我如何发现 Fastly 子域接管漏洞并获得2000美金的漏洞赏金。背景故事这是从 2022 年 10 月 2 日星期日开始的。这一天像往常一样开始了。选择了一个以前挖过的资产并开始...
云安全|子域名接管漏洞
云安全|子域名接管漏洞漏洞原理子域名接管漏洞,简单来说通过该漏洞可以接管目标子域名,让其显示我设置的页面,主要用于网络钓鱼、如伪造钓鱼页面,还可以利用其盗取Cookie,伪造电子邮件等。其原理为曾经为...
资产收集对抗-子域名爆破的一些心得
扫码领资料获网安教程免费&进群随首先子域名爆破,是发现多资产的一个很好的方法,在子域名爆破中,经常会遇到泛解析问题什么是泛解析呢(参考百度百科)?泛域名解析是:*.域名解析到同一IP。域名解析...
子域名接管漏洞是怎么回事儿
今天学习了下子域名接管漏洞,通过该漏洞可以接管目标子域名,让其显示我设置的任意页面,造成的危害,主要用于网络钓鱼,包括但不限于伪造钓鱼页面,还可以盗取 Cookie,伪造电子邮件等,具体风险可参考文章...
实战 | 一次成功的子域名劫持
很久之前就看过介绍子域名劫持的文章,可是一直没有遇到过,直到在最近的一次测试中真正遇到了,下面从什么是域名解析开始,大体梳理一下子域名劫持漏洞的成因、挖掘思路、工具,最后通过一个真实的案例来将整个漏洞...
一次成功的子域劫持
先介绍一下子域名劫持的文章,但是一直没有遇到过,直到最近的测试中真正遇到了,下面从什么是目标解析开始,大体一下一下子市场捕捉漏洞的成因、浅思思路、最后通过了一个的案例来将整个漏洞做一个工具...
暴露会话Cookie的CNAME伪装机制
原文作者:Assel Aliyeva, Manuel Egele原文标题:Oversharing Is Not Caring: How CNAME Cloaking Can ExposeYour Se...
如何接管戴尔的一个子域名
最近在Dell上发现了一个子域接管首先,我选择了赏金计划。然后,我从子域扫描开始。我使用subfinder扫描了所有子域。扫描完成,使用httpx探测了输出。我将活动子域和无效子域分开,然后通过检查子...
Subdomain Takeover 子域名接管漏洞
本文翻译Patrik Hudak 的文章,以及推荐一下55开写的子域名接管自动化工具!!!YYDS这篇文章旨在深入说明整个子域接管问题介绍:子域接管是注册不存在的域名以获得对另一个域的控制权...