记得上周我们做了一次zb演练,主要是针对公司的内部系统。和团队一起深挖了各类服务的安全性,发现弱密码始终是一个大问题。尽管大家都知道要使用复杂密码,但很多时候,实际情况却不尽如人意。我想到了 week...
PotatoTool网络安全综合工具总结
一、工具概述名称:PotatoTool类型:网络安全综合工具模块:分为红队模块和蓝队模块目标用户:安全从业者、红蓝对抗人员、网络安全爱好者二、红队模块功能信息收集:用于收集目标信息...
红蓝对抗:初步渗透要做的信息收集
当前机器的本地信息明确身份可以决定后续的渗透路径。例如当前机器是否加入域,如果加入域就可以进一步使用mimikatz尝试获取明文密码,导出的域账户可以向其他机器进行横移。如果是Web服务器,主机名和运...
网络实战演习,红蓝对抗,防守篇
演员请就位,演员请就位,集团聘请外部多支攻击队伍,对集团各机构实际网络和业务开展攻击测试两周,实战演练红蓝对抗7天后开始。无论攻击队伍还是防守队伍,都将面临持续的黑眼圈战斗了!战斗催人老!攻击方攻击步...
Java反序列化GUI利用工具
反序列化漏洞是一个常见且危险的安全风险,如果没有做好防范,很容易就会让攻击者乘虚而入。为了评估我们的系统安全性,试了一个开源工具——Java反序列化GUI利用工具。 这个工具简单易用,只需直接运行 s...
红蓝对抗中的综合防御与反击策略
在红蓝对抗的复杂棋局中,安全专家不断探索和总结出一系列高效的技战法,以应对日益狡猾的网络攻击。以下是对这些策略的概括和重新阐述:1. 0day漏洞防护策略伪装与混淆:通过改变关键应用的特征,如修改HT...
自动化XSS工具dalfox推荐
项目地址: https://github.com/hahwul/dalfox 说明:DalFox 是一个强大的开源工具,专注于自动化,非常适合快速扫描 XSS 缺陷和分析参数。其先进的测试引擎和利基功...
DockerApi未授权RCE工具
作为一名网络安全工程师,我们的日常工作几乎都是围绕着各种例行的安全活动,比如hvv、zb和红蓝对抗演练。最近,我们团队正忙于一次针对公司内部 Docker 环境的安全审查。在这个过程中,我发现很多同事...
自动化文件上传安全检测工具
就在这个时候,我发现了一款开源的安全测试工具——Fuxploider。这是特别适合用来检测和利用文件上传表单的安全风险。 在我们的例行安全活动中,我们会审查所有可能被攻击的入口,包括文件上传功能。Fu...
Windows渗透测试工具仓库
作为技术人员,每当我参与例行的安全检查或是进行红蓝对抗演练,我们总会面临各种工具的选择和使用问题。为了确保我们的渗透测试和漏洞扫描能够顺利进行,能有一款好用的工具无疑是加分项。 最近,我开始关注个开源...
X-Recon
最近找到个挺实用的工具——X-Recon。它是一款开源的信息搜集与安全扫描工具,能够帮助我们快速获取目标系统的子域名、链接以及表单信息,还能发现一些潜在的安全漏洞。X-Recon的安装过程相当简单,只...
恶意流量检测平台:maltrail
在我们的日常工作中,面对越来越复杂的网络环境,确保网络安全已经成为了我们不可或缺的责任。无论是例行的安全活动、应对重保任务还是参与红蓝对抗演练,我们都需要高效且可靠的工具来帮助我们识别和防范潜在的威胁...