安全文章 - 第 1133 | CN-SEC 中文网

应急响应

Linux云主机安全入侵排查步骤

导语经常有用户报障系统被植入恶意程序，如挖矿软件、ddos攻击病毒、syn映射攻击病毒等，可以按照以下流程为用户排查入侵病毒类型：一、定位病毒进程对于用户反馈云主机性能卡顿，CPU和内存占用较高...

01月24日34 views评论

阅读全文

安全文章

记一次edusrc指定学校站点挖掘实例

最近比赛结束也算是圆满完成了任务，所以闲来无事想更新几期edusrc平台漏洞挖掘的记录，主要想以逻辑漏洞为主。遂有了本篇文章。没什么亮点，中规中矩。如有什么问题，欢迎微信与我交流！注：本文涉及到的所有...

01月24日47 views评论

阅读全文

供应链安全

全球软件供应链安全指南和法规

软件供应商和用户，都需要对有效抵御软件供应链攻击的要求和法规越来越熟悉。供应链安全继续在网络安全领域受到重点关注，这是有充分理由的：SolarWinds、Log4j、Microsoft和Okta软件供...

01月24日122 views评论

阅读全文

安全文章

绕过双因素认证至账户接管

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。博客启用新域名：https://guges...

01月24日18 views评论

阅读全文

安全文章

如何让SSRF漏洞起死回生

1. 发现敏感接口首先，我从 Hackerone 收集了一些项目信息。我进行了常规的一些测试，例如 Web bug 和 IDOR，但我完全没有发现任何机会。过滤器和身份验证机制非常强大，使用 uuid...

01月24日22 views评论

阅读全文

安全文章

重生第六篇之任意用户密码重置

0x01 前言叙述目标系统是一个小额贷款网站，通过对资产进行打点，发现目标系统的安全方法做的还是很到位的，防火墙、哇夫（WAF）统统都架上了，但是网站看起来确实有点老旧，最后尝试...

01月24日23 views评论

阅读全文

安全文章

【渗透实战】某访客系统越权测试

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。...

01月24日26 views评论

阅读全文

安全百科

一篇文章说清楚URLDNS链

接上一篇讲到java原生的序列化和反序列化方法，这篇通过URLDNS链为例展开讲讲java原生序列化和反序列化的危害，以及通过URLDNS链的分析来简单入门反序列化漏洞的代码审计。java序列化和反序...

01月24日26 views评论

阅读全文

安全文章

【赏金猎人】鼠标一点直接将2FA绕过

先说一下什么是2FA？双因素身份验证（2FA），有时称为两步验证或双因素身份验证，是一种安全过程，其中用户提供两种不同的身份验证因素来验证自己，以更好地保护用户的凭据和用户可以访问的资源。什么是OP...

01月24日46 views评论

阅读全文

HW&HVV

记某次HVV：通过windows特性打穿内网

免责声明本文仅用于参考和学习交流，对于使用本文所提供的信息所造成的任何直接或间接的后果和损失，使用者需自行承担责任。本文的作者以及本公众号团队对此不承担任何责任。请在使用本...

01月24日38 views评论

阅读全文

安全文章

赏金猎人|兜兜转转拿下平台充值漏洞

0x01 前言业务平台为网络虚拟商品，此次做被动信息收集，本着也是平台老用户的心态，做好事不留名，看看有无逻辑漏洞及手工测试漏洞，各位师傅们测白盒审代码撸洞永远是我追随的目标此处说明关...

01月24日40 views评论

阅读全文

HW&HVV

二维码-邮件钓鱼历险记

临近年末，公司又要举办“钓鱼演练”，之前钓鱼是以<a>标签链接的方式取诱导点击，想着员工对于“链接”多少有防备心了，故这次想换个花样。恰好朋友Y君不久前用了二维码钓鱼效果不错，索性就换成二...

01月24日140 views评论

阅读全文

在线咨询

微信