攻防演练 - 第 14 | CN-SEC 中文网

安全工具

攻防演练过程中，发现未授权/敏感信息/越权/JS文件/登陆接口的插件

工具介绍攻防演练过程中，我们通常会用浏览器访问一些资产，但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等，通过该Burp插件我们可以：1、发现通过某接口可以进行未授权/越权获取到所有...

05月27日35 views评论

阅读全文

安全新闻

2024攻防演练利器之必修高危漏洞合集

1.概述随着网络安全的发展和攻防演练工作的推进，红蓝双方的技术水平皆在实践中得到了很大的提升，但是数字化快速发展也导致了企业的影子资产增多，企业很多老旧系统依旧存在历史漏洞，与此同时，在攻防演练...

05月26日68 views评论

阅读全文

HW&HVV

HVV期间的VPN安全策略；如何管理远程桌面软件

▎各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第 236 期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干...

05月24日49 views评论

阅读全文

HW&HVV

钓鱼全流程梳理 | 攻防演练

攻防演练中，传统的web打点在没有0day的条件下变得非常困难，钓鱼成为一种相对容易的打点方式。本篇文章将介绍个人总结的钓鱼全流程，包括发送阶段注意事项、钓鱼话术、上线后注意事项。由于微信公众号推送机...

05月19日114 views评论

阅读全文

HW&HVV

攻防演练 | 红队钓鱼技术剖析与防范

一. 钓鱼技术简介随着安全防护技术水平的提高以及安全设备对攻击行为检测能力的提升，传统WEB攻击手段越来越难以有效突破防守单位的高强度防守。钓鱼攻击逐渐受到红队的重视。与传统的攻击手段相比，钓鱼攻击成...

05月19日67 views评论

阅读全文

安全文章

记一次精准的供应链打击

声明：该公众号大部分文章来自作者日常学习笔记，未经授权，严禁转载，如需转载，联系洪椒攻防实验室公众号。<br />请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和...

05月18日15 views评论

阅读全文

HW&HVV

某次重要攻防演练细节打点到攻陷内网分享

01成果概述成果概述： 1. 外网打点：*******-若依系统权限获取 2. 获取到*********有限公司（ip:**********）多个主机权限和后台权限后台权限：10.0.***.**...

05月15日44 views评论

阅读全文

HW&HVV

记一次HW供应链攻击到SQL注入新用法

扫码领资料获网安教程# 0.前言在参加某市攻防演练的时候，发现目标站，经过一系列尝试，包括弱口令、SQL注入等等尝试后，未获得到有效的入口点。在准备放弃之时，看到页脚的banner：xxxxx信息科...

05月13日100 views评论

阅读全文

HW&HVV

【2024HW】|6-攻防演练中一次渗透测试实例

一次渗透测试网络安全攻防演练渗透测试全过程，尽管如今的教育培训机构愈来愈注重安全防护，但沒有绝对的安全防护，说白了的安全性实际上全部都是相对性的。1.数据搜集在这儿实际上没法去做一部分有价值的收集，只...

05月09日32 views评论

阅读全文

安全职场

【2024HW】|5-蓝队防守要点分享

No.1 安全防护设备1、对于核心用户攻防演练初期的值守，安全防护设备（APT、AILPHA数据管理平台等）最好是能提早一星期落实到位，主要是能够提早用于检测用户的网址发生的弱口令漏洞、Shiro反序...

05月09日68 views评论

阅读全文

HW&HVV

某省政务网攻防演习县级蓝队作战计划

本文涉及敏感信息已做脱敏处理。本文蓝队服务对象为县级网络安全监管单位，这里简称xx局。近年来，网络安全攻防演习已经成为我国每年的常态化网络安全工作之一。网络安全攻防演习的核心目的是验证各单位信息安全工...

05月07日34 views评论

阅读全文

HW&HVV

攻防演练中如何利用Hook绕过EDR的内存保护

更多全球网络安全资讯尽在邑安全0X00前言在最近一次攻防演练的过程当中，笔者在接管"打点"移交的目标后，遇到了一款不太出名（默默无闻）的EDR产品。但是毕竟是EDR，这款安全产品也成功的阻止了笔者企图...

05月06日36 views评论

阅读全文