+前言在取证工作中经常会涉及到网站的还原,在做网站还原的时候会面临一个比较头疼的问题,那就是密码绕过。如何绕过网站的密码机制让我们进入后台固定数据这个对取证人员来说至关重要,接下来小知会跟大家分享网站...
红队常用攻击套路
在红队的实战过程中,红队专家们逐渐摸出了一些套路、总结了一些经验:有后台或登录入口的,会尽量尝试通过弱口令等方式进入系统;找不到系统漏洞时,会尝试社工钓鱼,从人开展突破;有安全防护设备的,会尽量少用或...
商用密码技术体系和应用方案
请点击上面 一键关注!内容来源:数观天下密码技术描述密码技术是实现内生安全的核心和基础,整体贯穿硬件(芯片)平台、操作系统、应用服务器(中间件平台)、业务应用系统各个层次,密码技术应用需从系统规划设...
新奇的逻辑设计缺陷漏洞导致用户账号全部瘫痪
01 前言 这几天也在挖洞,注重的还是逻辑漏洞的挖掘,发现很多新奇的思路,只要大胆去尝试就会有不一样的发现,同时也遇到很多有意思的地方,本文就是出乎意料的之一。 02 挖掘过程 1、首先进入到忘记密码...
密评工作10大基本问题
作者丨一哥出品丨北京一等一技术咨询有限公司独家授权,未经许可不得转载《密码法》已经正式实施了一年有余,《密码法》中规定相关网络运营者应自行或者委托商用密码检测机构开展商用密码应用安全性评估,开展“密评...
JavaWeb分步业务流程审计
常见业务场景 常见的业务模块有: 注册验证模块 重置密码模块 手势密码模块 修改模块(修改密保手机号等) …… 审计要点 以重置密码流程为例。 常见业务...
【渗透实例】我是如何发现微软任意账户劫持漏洞,并因此获得5万美元赏金的
点击上方蓝字关注我们概述本文描述了研究人员是如何发现微软在线服务上存在的一个漏洞,该漏洞可能允许任何人未经许可就可以接管任意微软帐户。微软安全团队已针对该漏洞进行了修复,并向研究人员颁发了5万美元的漏...
WIFI万能钥匙
最近有同学问我为什么家网速会这慢,我根据同学提供的信息分析出是WIFI万能钥匙搞的鬼。提到WiFi万能钥匙,大家都很熟悉了,利用这个APP基本上很大一部分的无线密码都可以轻松“破解”掉,绝对的蹭网神器...
漏洞预警:12306用户赶紧修改密码吧
根据这条帖子的内容,这份数据包括60万账户信息,详细到除了ID、手机号、密码之外,连姓名、身份证、邮箱、问题及答案竟然都有,根据安全问题很可能能够直接申诉获取其它平台账户的重要信息。此外,还包括每个账...
搭建自己的docker镜像仓库(三)
书接前文,上回书说到搭建本地私有docker镜像仓库的第二种情况,https不带用户名密码认证的情况,不需要修改docker的配置,需要创建并使用证书,本周咱们继续,3、https带用户名密码认证的情...
逻辑漏洞
逻辑漏洞01逻辑错误漏洞逻辑漏洞是指由于程序逻辑不严谨或逻辑太复杂,而导致一些逻辑分支不能够正常处理或处理发生错误,一般出现在以下几个方面:任意密码修改(没有旧密码验证)越权访问密码找回交易支付金额逻...
Lil-Pwny:一款基于Python的多功能活动目录密码审计工具
Lil-PwnyLil-Pwny是一款多功能活动目录密码审计工具,该工具基于Python编程语言实现,并且能够帮助广大研究人员通过多种处理方法来对活动目录密码进行安全审计。Lil-Pwny是一款Pyt...
106