源代码审计面经之前陆陆续续参加过源代码审计新人的面试,有个小兄弟今年也在学习源代码审计相关知识,本人今年上半年也参与过部分单位源代码审计岗位的面试,网上也没有相关岗位的面经介绍,这里就总结了一下,供各...
常见端口服务渗透(NFS)
点击蓝字添加关注0x00:靶场介绍这次还是用Try hack me的漏洞平台。房间链接为 https://tryhackme.com/room/networkservices2 。这次是NFS服务基础...
Hack The Box:Blunder(CMS漏洞爆破+MSF一键获取权限)
点击上方蓝字关注我们0x00:靶机介绍这次的靶机是Blunder,总结来说就是查找CVE漏洞,MSF一键getshell。以及最后的简单提权。难度也比较符合Easy级别。0x01:信息收集还是pyth...
VBA宏分析:注意Shift键!
许多恶意软件分析人员喜欢使用MS Word或Excel中的VB编辑器来分析恶意宏代码,因为它提供了一个不错的调试环境。这是一种在其本机上下文中运行VBA代码的便捷解决方案,来取消掩盖严重混淆的宏代码。...
API安全测试的小技巧
随着RESTful API、GraphQL API等API技术的发展,掌握API安全技术是渗透测试工程师的一项基本技能,在渗透测试过程中会用到各种API安全工具和技巧,其中API安全小贴士...
群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……
金融业企业安全建设实践群第92期0405-0411上周群里共有 136 位群友参与讨论18 个话题分为以下6类安全管理:2 个安全技术:9 个求文档:0 个产品推荐:0 ...
【漏洞风险通告】Apache Druid远程代码执行漏洞(CVE-2021-26919)
背景描述Apache Druid是一个实时分析数据库,旨在对大型数据集进行快速在线分析(OLAP)处理。Druid最常用作数据库,提供灵活的数据浏览和快速的数据聚合。近日,迪普科技检测到Apache ...
OpenTSDB 2.4.0远程代码执行
在Pentest期间,我们在yrange参数中使用命令注入在OpenTSDB 2.4.0及更低版本中发现...
Java —— 代理 (转载)
原文始发于微信公众号():Java —— 代理 (转载)
霍炜:政务数据资源共享是区块链技术自主创新的主战场
点击蓝字关注我们数字政府建设的重点和难点在于推进跨层级、跨地域、跨系统、跨部门、跨业务的政务数据有序共享和协同服务。区块链是一种分布式数据存储及处理技术,是密码技术与分布式技术的创新融合,以去中心化方...
【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析
| 家族简介在2020年期间,勒索软件攻击的数量急剧增加。作为一个新兴的勒索软件家族,Nefilim勒索软件出现于2020年3月,与另一个勒索软件家族NEMTY共享一部分代码,NEMTY和N...
CVE-2020-16898TCP/IP远程代码执行漏洞复现
一、漏洞介绍 该漏洞主要是由于Windows TCP/IP堆栈在处理IMCPv6 Router...
11402