一、 “告知-同意”以外 “网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。” ——《网络安全法》第四十二条第...
Google信息收集插件 - PolarisScan:网络侦查得力助手
在当今数字时代,信息收集已成为网络安全人员进行渗透测试、漏洞挖掘以及安全研究的重要环节。无论是白帽黑客试图发现系统潜在漏洞,还是企业安全团队试图评估自身网络架构的安全性,全面且精准的信息收集都是开展工...
医疗厂商泄露近240万客户健康信息,赔偿超1.1亿元
美国地方医疗厂商希尔兹医疗集团2022年遭网络攻击,泄露了近240万客户身份、保险、医疗及治疗等信息,该公司同意支付约1.1亿元达成和解协议,已解决相关集体诉讼案件。安全内参5月27日消息,美国马萨诸...
实战-EDU证书挖掘
No.1 挖洞过程 通过信息收集获得了某个学生的身份证后四位,再通过爆破尝试获得了后6位并登录成功 登录该校办事大厅进入学校某功能处 存在遍历接口,能够遍历所有学生、教职工的个人信息包含身份证、学号、...
【MalDev-14】恶意软件常用算法
03-恶意软件常用算法前面主要是加密字符串信息,加密算法还可以加密shellcode、通信数据包、配置信息等01-常用加密算法概述加密配置信息、加密通信信道、加密窃取数据、混淆代码放置静态...
Linux应急响应:进程环境变量的妙用
0x00 前 言 在Linux系统中,进程的环境变量是一些用来传递配置信息的键值对。当一个进程被创建,会继承其父进程的所有环境变量(如下所示)。操作系统通过/proc/[pid]/env...
众测一路追到供应链
本文由掌控安全学院 - 还以为多浪漫 投稿 前言 事起之因源于某次EDU众测,好巧不巧某高校连上了两次众测 华中 开局 目标靶标中一处资产,大概长这样 打过这套通用的都知道,这套实验室...
src|简简单单任意用户注册
作为一名登陆口对抗工程师,看到这样的注册框自然是要碰一碰的 先输入邮箱以及对应信息,发现姓名可以随便,没有校验: 点击注册之后,会向邮箱发送一封验证邮件,这是比较常见的(这里提示注册成功其实并没有,需...
地大信息-基础信息平台 GetImg 任意文件读取漏洞 Poc
0x02 产品介绍 地大信息的基础信息平台,通过整合各类空间基础数据,包括地理、地质、气象等多源信息,构建了一个空-天-地一体化的自然灾害监测物联网和时空感知大数据平台。该平台不仅支持数据的集成、管理...
域渗透系列 域信息收集之BloodHound
BloodHound介绍 BloodHound 通过图与线的形式,将域内用户、计算机、组、会话、ACL,以及域内所有的相关用户、组、计算机、登录信息、访问控制策略之间的关系,直观地展现在红队成员面前,...
SNMP服务泄露信息突破边界
“ snmp服务” 01 — 信息泄露 打靶机的时候扫端口要注意UDP的端口,这次打靶机的时候,扫描UDP端口发现了161开了snmp服务: nmap -sU --top-ports 100 $IP ...
花式固件提取之韩国KT固件
前言 手上有一台韩国的路由器,一直闲置了很久,打算去挖下漏洞,无奈找了很久固件没找到,就连官网都没有这款设备的固件,看来只有拆机; 看到flash那一刻,好吧还是上串口吧; 启动信息: 从启动信息可以...