01背景近日,谷歌推出了一批新的顶级域(TLD),其中包括.zip和.mov,意味着个人用户可以注册.zip和.mov的顶级域名,很多安全人员对这一举动提出了担忧,认为此举会引入安全隐患。其中讨论最多...
05月20日55 views评论域名
浏览器
TLD与常见文件后缀重复引发的安全问题
05月20日55 views评论域名
浏览器
05月20日55 views评论域名
浏览器
【APT 组织·响尾蛇】持续攻击我国和巴基斯坦
The Hacker News 网站披露,网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于我国和巴基斯坦境内的实体组织。APT 组织 SideWinder 至少从...
05月19日21 views评论域名
研究人员
攻防系列之全垒打
资产收集第一步,域名收集首先打开目标官网并且在tianyancha、qichacha等网站上进行收集目标域名。天眼查:https://www.tianyancha.com/对目前环境来说,是最适合也是...
05月19日30 views评论ip
域名
host碰撞
0x00 hosts碰撞在渗透测试中,搜集了很多IP资产,端口也开放了WEB服务,但打开总是403 404 400错误,扫目录也扫不到东西。这时候可以尝试利用HOSTS碰撞技术突破其边界对其内网系统进...
05月19日75 views评论ip
域名
文件名还是顶级域,傻傻分不清
Google 五月初放出来一波新的顶级域名,包括 .dad, .phd, .prof, .esq, .foo, .zip, .mov 和 .nexus。https://www.blog.google/...
05月18日28 views评论pwn
域名
【干货】邮件钓鱼入门到入土
邮件钓鱼入门到入土在大型企业边界安全做的越来越好的情况下,不管是 APT 攻击还是红蓝对抗演练,钓鱼和水坑攻击被越来越多的应用。一、邮件安全的三大协议1.1 SPFSPF 是 Sender Polic...
05月18日83 views评论域名
电子邮件
记一次普通的攻击溯源排查
免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
05月16日60 views评论域名
端口
威胁狩猎中的FSLS概念
在网络安全领域,威胁狩猎的过程是通过不断监测网络流量和系统日志,发现和追踪潜在的威胁,并且在它们变成真正的攻击前进行干预。威胁狩猎可以有效地降低网络攻击的成功率,并且使得企业在发现威胁时能够更快地做出...
05月16日87 views评论ip地址
域名
通过发现隐藏的参数值实现任意用户登录
攻防演练随机
HW刚开始,拿到目标看了一眼,感觉应该很好打。直接对准某市第三医院开始揍,结果一个有用的洞都打不下来(跑一个账号换了20多个ip)......果然我终究是个菜b,在摸鱼了一天什么都没打下来,还封了我好...
05月04日21 views评论ssrf
域名
神兵利器 | 一款自动化渗透工具recon
简介 闲来没事,做一个自动化recon的工具,简化操作流程。可以对域名或ip进行whois查询,dns记录查询,ip端口扫描,http屏幕快照。 最终生成markdown格式的报告,可使用Obsidi...
04月26日47 views评论ip
域名
N!SRC漏洞挖掘信息收集思路分享
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
04月24日84 views评论信息收集
域名
54