admin 发表的所有文章 | CN-SEC 中文网

安全开发

什么是安全左移,如何实现安全左移

一、传统软件开发面临的安全挑战传统软件开发面临的安全挑战主要包括以下几个方面：安全意识和文化的缺乏：在传统软件开发过程中，往往缺乏对安全性的足够重视和深入理解。开发团队可能更注重功能的实现和交付时...

05月25日136 views评论

阅读全文

安全文章

SRC实战从默认页面到通用漏洞

01 概述某个摸鱼的日子里，想起好久没挖洞了，启动fofa，找到一个nginx默认页面，一看就没洞，放弃： 02 正文 dirsearch启动跑跑目录，果然有收获，还是类似于默认页面的目录：通过o...

05月25日71 views评论

阅读全文

安全新闻

工业领域数据安全典型案例丨面向装备制造企业的数据安全监测服务解决方案典型案例

前言为贯彻落实《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法(试行)》和《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》，充分挖掘工业和信息化领域数据安全防护典型经验做...

05月25日254 views评论

阅读全文

程序逆向

CVE-2017-11882分析和白象样本分析

CVE-2017-11882是微软公布的一个远程代码执行漏洞，漏洞是由模块EQNEDT32.EXE公式编辑器引起，该模块在Office的安装过程中被默认安装，该模块以OLE技术（Object Link...

05月25日12 views评论

阅读全文

安全文章

爆破奥义 |关于爆破中常见的那点事

0x01 含有验证码现在大部分登录口都包含验证码，又或者是含有验证码，且凭证信息还是加密传输，关于加密爆破大家可以看我之前的文章，基于脚本和插件进行加密识别和加密爆破。当然，更推荐大家可以去学习一...

05月25日37 views评论

阅读全文

云安全

云原生安全攻防--快速识别虚拟机、Docker和K8s集群环境

今天我们将一起学习一个非常实用的技巧，快速识别云原生环境。对于攻击者而言，随着云原生应用普及，当攻击者获得一个shell权限时，那么这个shell可能处于虚拟主机里，也有可能在一个Docker环境里...

05月25日7 views评论

阅读全文

Java 反序列化技巧规避 EDR 和 WAF

在红队参与攻击期间，我们遇到了暴露在互联网上的 Java 应用程序，这些应用程序受到用户提供的数据的任意反序列化的影响。在快速识别出一个众所周知的小工具链后，我们注意到 WAF 通过检测...

05月25日代码审计9 views评论

阅读全文

安全文章

记一次985证书站Oracle注入绕WAF

原文链接：奇安信攻防社区 https://forum.butian.net/share/2996 本文记录了我第一次Oracle注入并绕过WAF的经历，希望大家多多支持。 0x01 前言看到某985...

05月25日15 views评论

阅读全文

安全文章

某安全产品黑盒测试

文章正文注：本次测试均有相关测试授权！！！前言算是xx厂商的安全产品，通过搜索引擎并没有找到很多资产，怎么说也是个0或1day，因此记录一下。漏洞挖掘 Shiro 反序列化打开网站，还是熟悉...

05月25日24 views评论

阅读全文

安全闲碎

CISA桌面演习手册：内部威胁

本文是该系列第七篇，后续篇章陆续更新中！因个人能力和精力有限，难免存在瑕疵，不足之处还请朋友们多多见谅。模块1 第1天网络安全和基础设施安全局（CISA）发布了一份警报，其中包含有关恶意网络行为者...

05月25日45 views评论

阅读全文

安全工具

CapTipper - 用于网络取证和安全研究

CapTipper是一款开源的网络取证工具，用于分析和提取PCAP文件中的网络流量。它可以解析PCAP文件中的HTTP和HTTPS流量，并提取其中的文件、图像、URL、Cookie等信息。CapTip...

05月25日44 views评论

阅读全文

Java代码审计--反射

简介java的反射就是在程序运行中动态的创建对象，并且和new不同的是，反射创建对象不需要考虑访问权限，可以直接查看类的私有属性以及调用私有方法，并且new创建对象时在编译时期将对象的.class加载...

05月25日代码审计22 views评论

阅读全文

admin

什么是安全左移,如何实现安全左移

SRC实战从默认页面到通用漏洞

工业领域数据安全典型案例丨面向装备制造企业的数据安全监测服务解决方案典型案例

CVE-2017-11882分析和白象样本分析

爆破奥义 |关于爆破中常见的那点事

云原生安全攻防--快速识别虚拟机、Docker和K8s集群环境

Java 反序列化技巧规避 EDR 和 WAF

记一次985证书站Oracle注入绕WAF

某安全产品黑盒测试

CISA桌面演习手册：内部威胁

CapTipper - 用于网络取证和安全研究

Java代码审计--反射

在线咨询

微信