关于Badsecrets Badsecrets是一个功能强大的Python代码库,可以帮助广大研究人员从多种Web框架中检测出已知的敏感信息。Badsecrets基于纯Python开发,主要目标就...
某微OA前台任意文件上传漏洞分析-附检测POC
前言 前段时间,官方发布了10.58.3补丁,其中修复了一处前台任意文件上传漏洞,实际利用条件比较苛刻,在此分享一下分析过程 利用条件 1.目标开启集群模式。 漏洞分析 第一部分 通过diff10.5...
gopher协议的利用
近期看到了很多大佬的面经,都问到了gopher扩展攻击面的知识,之前使用gopher利用过ssrf漏洞,但也仅仅停留在会用,并不是很了解,(今天挂着网课来总结一下),也算是逃课专业户了。 什么是gop...
[lulzbuster] web目录扫描工具
0x02 工具介绍 lulzbuster是一款由C语言开发的web目录扫描工具。 0x03 工具编译 在Kali Linux上安装lulzbuster sudo apt install libcurl...
DyLib注入绕过MacOS TCC导致Telegram信息泄露 CVE-2023-26818
0x01 免责声明 请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文...
全球首批后量子加密标准诞生
经过多年的评审与筛选,美国国家标准与技术研究院(NIST)本周正式敲定了三项用于应对量子计算威胁的加密算法,这标志着全球首批后量子(post-quantum)安全加密标准的诞生。早在2016年,随着量...
如何识别网络安全企业风险避免踩坑
关注兰花豆说网络安全,了解更多网络安全知识2024年还有4个多月就结束了,网络安全行业还处在寒冬中,大部分企业都在进行降本增效,优化组织结构,收缩产品线,裁员降薪,延迟发薪等等。总的来说,大部分公司都...
记一次实战中信息收集溯源案例分享
在某次值守中,发现了一个攻击IP ,通过社工信息收集等思路与技巧,结合地图定位与各个渠道信息检索,逐步深入,直到溯源到攻击IP所属人的完整信息,内容详细完整值得一读。在某次值守中,发现了一个攻击IP ...
G.O.S.S.I.P 阅读推荐 2023-08-31 VIPER
八月的最后一天为大家推荐的论文是来自宾州州立大学胡宏研究组投稿并完成的的最新成果 VIPER: Spotting Syscall-Guard Variables for Data-Only Attac...
Proofpoint ET Pro数据包验证分析系统
0x01 引言 随着信息技术的飞速发展和数字化的全球化推进,网络安全问题日益凸显,成为各个组织和企业亟待解决的难题。网络攻击不仅对组织的数据和资产构成威胁,还可能对整个社会的稳定和安全带来不可预估的冲...
针对Nacos漏洞猎杀的各种骚姿势
一次edu hw红队真实社会工程学案例描述:hw就剩最后一天,实在是打不动了,但只差一千分就能提升一个名次 最后想到了去社工拿账号,于是打开了抖音搜索xxx职业学院,在评论区找到到了两位好心学长,通过...
预装易受攻击的应用程序可能导致数百万谷歌 Pixel 手机遭到黑客攻击
导 读自 2017 年 9 月以来,许多 Google Pixel 设备都包含可能被攻击者利用来入侵的休眠软件。移动安全公司 iVerify 的研究人员报告称,该问题源于预装的 Android 应用程...
15756