用户 - 第 13 | CN-SEC 中文网

linux检测系统是否被入侵(上)

入侵者在入侵成功后，往往会留下后门以便再次访问被入侵的系统，而创建系统账号是一种比较常见的后门方式。在做入侵排查的时候，用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重...

10月08日应急响应66 views评论

阅读全文

安全百科

XSS的原理和分类

xss呢就是在web页面插入一段恶意的script代码，用户浏览页面的的时候，嵌入web里的script代码就执行，然后就达到恶意攻击用户的目的。xss是针对用户层面的攻击。xss有三类：存储型、反射...

09月29日66 views评论

阅读全文

安全文章

绕过短信验证码认证的方式

在实际的测试中，登录时通常可以使用账号密码登录以及短信验证码登录，账号密码的暴力破解，是否成功取决于用户使用的字典是否包含在你的攻击字典中，如果存在，则可以成功爆破，如果不存在则无法成功爆破，但这不是...

09月26日260 views评论

阅读全文

安全开发

Go语言之道

近期阅读了John Arundel的文章《The Tao of Go[1]》，看完后我都有心去阅读一遍《道德经》了:)。作者将Go语言设计哲学与惯例与“道”学三宝有机的联系到一起，给了我不小的启发。这...

09月26日104 views评论

阅读全文

安全漏洞

Squiz Matrix CMS消除了管理员帐户接管错误

Squiz Matrix Web内容管理系统(CMS)中的间接对象引用(IDOR)漏洞可能使攻击者能够获取目标安装的管理员权限。Squiz Matrix是一种基于浏览器的网站建设工具，据报道被280多...

09月26日32 views评论

阅读全文

安全闲碎

《你安全吗》技术解读（三）

🐶伪基站狭义的基站是无线电台站的一种形式，其介于手机用户和基站控制器(BSC)之间，一方面，基站将信号送至塔顶的天线，再发送至手机；另一方面，它将手机发送过来的信号通过本地网的接入传输设备传送至基站控...

09月26日47 views评论

阅读全文

安全文章

谭谈 XSS 那些世人皆知的事

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即...

09月25日82 views评论

阅读全文

安全文章

【技术原创】渗透技巧——从VMware ESXI横向移动到Windows虚拟机

0x00 前言假定以下测试环境：我们获得了内网VMware ESXI的控制权限，发现VMware ESXI上安装了Windows域控服务器。本文仅在技术研究的角度介绍从VMware ESXI横向移动到...

09月21日123 views评论

阅读全文

安全百科

跨站脚本攻击XSS-存储型XSS（上）

在本节中，将解释下什么是存储型跨站脚本，描述存储型XSS攻击的影响，并说明如何找到存储型XSS漏洞。什么是存储型XSS？当应用程序从不信任的来源接收数据并以不安全的方式将该数据包含在其以后的HTTP响...

09月08日82 views评论

阅读全文

安全文章

实战｜记一次src逻辑漏洞挖掘

src漏洞挖掘漏洞已通知厂商修复本人web小白文章技术含量不会很高注册了两个账号测试业务发现了支付页面，可以测试能不能修改，其中我发现了几个参数我猜第二个参数是用户id 那我就可以修改用户id达到修...

09月08日36 views评论

阅读全文

安全文章

使用bloodyAD对域属性进行查询与修改

对域属性进行查询与修改使用bloody AD项目地址：https://github.com/CravateRouge/bloodyAD该工具有如下一些功能：- delObject ：删除对象- add...

09月08日47 views评论

阅读全文

安全漏洞

安全漏洞 | 8月份月度安全漏洞报告

近日，梆梆安全专家整理发布8月安全漏洞报告，主要涉及以下产品/组件：EyouCMS、Adobe Acrobat and Reader、Google Chrome、IOS、IPadOS、PAN-OS、S...

09月08日186 views评论

阅读全文