金融业企业安全建设实践群第88期0308-0314上周群里共有 127 位群友参与讨论20 个话题分为以下5类安全管理:7 个安全技术:2 个求文档:3 个产品推荐:5 ...
攻防演练中的业务逻辑漏洞及检测思路
随着各类前后端框架的成熟和完善,传统的SQL注入、XSS等常规漏洞在Web系统里逐步减少,而攻击者更倾向于使用业务逻辑漏洞来进行突破。业务逻辑漏洞,具有攻击特征少、自动化脆弱性工具无法扫出等特点,也为...
记一次某生鲜电商企业安全运营实战
0x00、前言继快递、外卖之后,互联网买菜也成为一种时尚。这背后是成长迅速的新零售生鲜行业,加之承载着非常高频、重要的本地生活平台入口功能,由此吸引着众多互联网巨头。那么针对本次风口,大公司有自己完善...
渗透测试业务逻辑测试汇总—通用篇
本文作者:Angus(Ms08067实验室 SRSP TEAM小组成员)0x00:前言 在漫漫渗透路中,“业务逻辑漏洞“一词,想必各位都不陌生...
MySQL的MaxIdleConns不合理,会变成短连接
1 背景最近石墨文档线上业务出现了一些性能问题,在突发流量情况下,有个业务性能急剧下降。该服务是依赖于数据库的业务,会批量获取数据库里的数据。在经过一系列的排查过程后,发现该服务到数据库的连接数经常超...
Java代码审计之平行越权
平行越权的业务场景主要是Web 应用程序接收到用户请求,对某条数据进行业务操作时(例如编辑收货地址),没有判断数据的所属人,或判断数据所属人时,从用户提交的request参数(...
浅谈短信业务中的格式化漏洞
关于短信业务 短信服务(Short Message Service)是指通过调用短信发送API,将指定短信内容发送给指定手机用户。短信的内容多用于企业向用户传递验证码、系统通知...
零信任——老树新花还是水到渠成?
▶ 引言即使跟其相关的底层技术很早就出现了,然而纵观IT演进的时间轴,“零信任”这个概念的历史都不算长。通信网解决了连通性问题,互联网解决了联通性问题。无论是电路交换还是分组交换,在这些网络设计的时候...
4.15上海风控沙龙|月活上亿app的“风险感知和处置闭环”实战分享
报名请扫海报或扫下方👇报名二维码(本次活动名额有限)两家月活在千万级以上的社群电商平台,多业务场景下究竟都面临哪些风险和挑战?又有哪些实战经验值得借鉴?4月15日,永安在线邀请到得物和趣头条做客上海站...
泛在物联网终端设备安全检测的一般原则和方法
一、概述泛在物联网通俗的表达就是广泛存在的物联网,它是一个分层的体系架构,自下至上由终层、网络层、平台层和业务层组成。终端层作为物联网的“触角”,主要由具有各种感知能力的业务终端组成,是物联网识别信息...
当Frida来“敲”门
0x1 渗透测试瓶颈目前,碰到越来越多的大客户都会将核心资产业务集中在统一的APP上,或者对自己比较重要的APP,如自己的主业务,办公APP进行加壳,流量加密,投入了很多精力在移动端的防护上。而现在挖...
徐云峰:5G为室内定位产业发展拓展新的应用场景
情报分析师全国警务人员和情报人员都在关注关注 此文发表在光明日报系《中华读书报》 2021年1月27日19版 徐...
23