403 BypassBug type: 403 Bypasssite[.]com/env => 403 Forbidden site[.]com/env/HTTPS2 => Bypasse...
实战|记一次EDU漏洞挖掘
前言以下提及的漏洞都提交到edusrc平台进行修复,大佬勿喷。信息收集在外网进行系统测试,发现大部分都需要统一身份认证,瞅瞅该目标单位的统一身份认证要求,可以看到初始密码的规则是 xxxx@SFZ后六...
记一次EDU漏洞挖掘
前言以下提及的漏洞都提交到edusrc平台进行修复,大佬勿喷。信息收集在外网进行系统测试,发现大部分都需要统一身份认证,瞅瞅该目标单位的统一身份认证要求,可以看到初始密码的规则是 xxxx@SFZ后六...
Fortify软件安全内容 2022 更新 4
关于Fortify软件安全研究Fortify 软件安全研究团队将前沿研究转化为安全情报,为 Fortify 产品组合提供支持,包括 Fortify 静...
赏金猎人|挖SRC漏洞的技巧
一、漏洞挖掘的前期–信息收集虽然是前期,但是却是我认为最重要的一部分;很多人挖洞的时候说不知道如何入手,其实挖洞就是信息收集+常规owasp top 10+逻辑漏洞(重要的可能就是思路猥琐一点),这些...
API Security 思维导图
最近API安全概念停火的,正好前一阵在Twitter上看到一个API安全的思维导图,感觉很全面,在这里稍微总结下。API Securityhttps://dsopas.github.io/M...
Cisco ACI MSO身份验证绕过漏洞(CVE-2021-1388)预警
点击蓝字关注我们漏洞预警一、基本情况2月24日,Cisco发布了安全公告,修复了Cisco NX-OS、Cisco FXOS和Cisco UCS等多款产品及软件存在的漏洞补丁,其中最为严重的是安装在应...
Symfonos靶场打靶记录
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
实战|SRC挖掘思路及方法
最近发现很多刚接触渗透方面的小伙伴都不知道实战挖掘漏洞的诀窍,于是我打算写一些自己挖漏洞的诀窍。src推荐新手挖洞首选漏洞盒子,因为漏洞盒子范围广,国内的站点都收。相比于其他src平台,挖掘难道很适合...
CISSP考试指南笔记:7.14 快速提示
Facilities that house systems that process sensitive information should have physical access control...
记一次钓鱼邮件演练
前段时间参加了一次攻防演练,其中有个需求,需要对员工进行钓鱼测试,于是就有了这篇文章。一、 方案设计经过一段时间的试坑,发现目标的邮件网关很强大,想用已有的公共邮箱再伪造发件人不可行,最终选择的方案...
MSF系列(三)| Metasploit情报收集
01外围信息搜索通过DNS和IP地址挖掘目标网络信息(1)whois域名注册信息查询(BT5、kali专有):root@kali:~# whois www.example.com s(2)...