前言在本篇文防演练中攻击方是如何打开缺口的方法的总结。本篇文章数据来源于18+省市级别HVV,90+单位失陷报告。(一部分是笔者的参与,一部分是薅的公司其他师傅的报告)思路朴素不包含钓鱼和叼炸天的0d...
06月28日19 viewscmd
敏感数据
权限评论
HW红队|攻防演练中攻击方的思路总结
06月28日19 viewscmd
敏感数据
权限评论
06月28日19 viewscmd
敏感数据
权限评论
常见web应用服务器分析
原文始发于微信公众号(网络安全与取证研究):常见web应用服务器分析
06月07日2 viewsweb应用
常见web应用服务器分析
网络安全评论
靶场科普 | 文件上传之文件头绕过
点击上方蓝字关注,更多惊喜等着你本文由“东塔网络安全学院”总结归纳靶场介绍文件上传之文件头绕过今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“文件上传之文件头绕过”。一、实验介绍1. 文件上传漏...
06月06日6 viewsweb
文件上传
网络安全评论
Web应用安全七大致命错误
阿卡迈(Akamai)最近的《互联网安全状况》报告中写道:“绝大部分Web应用攻击都是没有特定目标的大范围漏洞扫描,但少数攻击确实是为入侵特定目标而进行的针对性尝试。无论哪种情况,攻击都非常频繁而‘嘈...
05月29日6 viewssql
web
攻击者评论
客户案例|以攻击溯源技术为盾 为金融Web安全打造硬核防御体系
客户痛点近年来,网络安全形势愈发严峻,病毒勒索、黑客入侵、信息泄露等信息安全事件层出不穷,尤其是给金融行业带来了巨大的经济损失。某金融行业客户的互联网区域部署众多Web应用,有效防护和监测Web应用安...
05月18日11 viewsweb
信息安全
攻击者评论
Web应用隔离防护之自动化扫描与攻击
背景一台Web应用服务器开放到公网上,几分钟之内,就会产生访问流量。如果该服务器开放的端口是常见的443或者80,被发现的速度更快,被探测的频率也会非常频繁。这些扫描和探测服务器的流量中,绝大部分都是...
05月12日10 views服务器
目录
端口评论
红队第5篇:MS12-020蓝屏漏洞在实战中的巧用
Part1 前言 大家好,上期分享了一篇Shiro Oracle Padding反序列化漏洞无key的实战文章,这期讲一个MS12-020蓝屏漏洞的真实利用过程。这个案例源于20...
05月01日21 views服务器
权限
漏洞评论
浅谈SSRF
01 什么是SSRF?SSRF(Server-side Request Forge, 服务端请求伪造)是由攻击者构造形成由服务端发起请求的安全漏洞。一般 情况下,SSRF攻击的目标是从外网无...
04月23日26 viewshttp
url
服务端评论
Kali Linux Web渗透测试手册(第二版) - 6.1 - 寻找文件包含漏洞
翻译来自:掣雷小组成员信息:thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,这个公众号,一定要关注哦,慢慢会跟上面老哥们一起分享很多干货哦~~标记红色的部分为今日...
04月23日15 viewslinux
php
web评论
CTF实战1 Web应用系统介绍-TCP/IP协议
说明一下~因为前期发的时候没有加上<CTF实战1>这个东西,所以就有同学抱怨找不到<CTF实战1>因为微信公众号发出去的就不能大面积的修改,所以现在重发一遍~这样也可以对应起来...
04月23日24 viewsctf
tcp
web评论
总结Web应用中常用的各种Cache
总结Web应用中常用的各种Cache来源:Ruby China网址:https://ruby-china.org/topics/19389cache是提高应用性能重要的一个环节,写篇文章总结一下用过的...
04月19日13 viewshttp
name
web评论
红队第3篇:银行Java站SSRF组合洞打法造成的严重危害
Part1前言这篇文章源于之前做的某银行的红队评估项目,第一次打进去用了一个客服系统的0day漏洞,而且一直打到了银行的核心区。半年后项目续签,开始了第2轮红队评估项目,再想打进去就非常困难了。代码审...
04月19日23 viewsurl
代码
数据包评论