✎ 阅读须知乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入...
关于信息泄露的危害,听听圈内人怎么说......
近日,据媒体报道,国内45亿条个人信息遭到公开泄露,数据包括真实姓名、电话、住址等敏感信息,并公开了免费查询渠道。离渗透测试工程师在事件曝光第一时间就查到了自己的信息,而且是近一个月内的最新地址。其他...
AD防御建设方案-Tenable.ad和ATA对比(1)
前言AD已有22年的历史,各种对象,配置,策略都在不断迭代AD安全问题,目前采用的常见方法渗透测试合规与审计工具基于SIEM的相关性基于Agent的行为分析AD被攻击的主要原因:CVE漏洞AD错误配置...
redis未授权访问配合ssh免密登录getshell
在一次渗透测试中拿到一个ip地址52.80.249.xx,nmap端口扫描出22,6379,80端口,目标机是linux系统的一台服务器,6379为redis的默认端口,尝试对其进行利用。使用kali...
【渗透测试】MSSQL盲注实战
0x01 前言 在渗透测试中很多时候会遇到无报错回显的情况,除了一个个猜解以外,还可以结合DNSlog来快速获取数据库信息,本文主要介绍在MSSQL数据库下的DN...
实战 | 记录一次JWT的越权渗透测试
简单介绍:在一次某行动暂停之后,某单位重新对自身的业务进行了评估,系统业务使用SSO进行登录,而这个SSO登录后的子系统访问采用JWT进行认证,因此有了这一个漏洞的发生,漏洞利用较为简单,各位师傅请见...
渗透测试之常用高效爆破字典
这份爆破字典是前几年搜集整理的,后边陆续也加了些在实战中遇到的密码和路径等,分享给有需要的人!高效手机号码;shiro_key_1200;高效网站后台路径;常用文件包含路径;常见网站备份文件;常见身份...
渗透测试实用手册正式版,附Word版本
渗透测试实用手册利刃信安春《渗透测试实用手册》是一本旨在帮助安全人员了解Web应用攻击手段,发现缺陷以及针对Web应用的渗透测试的实用手册。本文介绍了各种Web攻击技术,比如SQL注入、跨站脚本攻击、...
实战 | 记一次从瑟瑟游戏的下载到某网盘网站的渗透测试
前言前排提醒,本文涉及的漏洞已经提交相关平台且站长已知,不要未授权渗透噢!前段时间在网上冲浪的时候看到一款不错的galgame,想下来玩玩(要脸就不说叫啥了)。点进去下载,一看捏妈,下个游戏还要开VI...
渗透测试实用手册正式版,附Word版本
渗透测试实用手册利刃信安春《渗透测试实用手册》是一本旨在帮助安全人员了解Web应用攻击手段,发现缺陷以及针对Web应用的渗透测试的实用手册。本文介绍了各种Web攻击技术,比如SQL注入、跨站脚本攻击、...
API安全技术与实践
微信公众号:计算机与网络安全▼API安全技术与实践▼(全文略)随着API技术的发展和广泛使用,API安全问题越来越受到人们的重视。本书从API安全的视角出发,介绍了API技术的发展和变化以及不同API...
第21篇:判断Weblogic详细版本号的方法总结
Part1 前言 在日常的渗透测试、红队评估项目中,中间件层面的漏洞挖掘是非常重要一环,Weblogic中间件在最近几年接连被爆出很多高危漏洞,基本上都是可以直接拿到权限的。主流...
163