关于文件上传漏洞的前言在现在越来越安全的体系下,SQL Injection 这类漏洞已经很难在安全性很高地站点出现比如一些不错的.NET 或 JAVA 的框架基本上都是参数化传递用户输入,直接封死注入...
黑客实战:从app渗透到网站沦陷
分享一下今天对某app进行渗透测试,从基础的信息收集到拿到网站的shell。总体来是还是很简单的,也没什么技术含量使用模拟器挂上代理并对app进行抓包,我们把其域名给拿出来2. 使用工具对主域名进行敏...
【渗透实例】 渗透某站打点到提权
【渗透实例】 渗透某站打点到提权1简介在一个非常烦躁的下午,一位师傅发了一个网站,(我这里有安全狗,这个站必有SQL注入)然后我就下载了安全狗(姿势不多,版本还真的多)下载了三个才下载正确,然后我就直...
【渗透测试】反方向的RCE
0x01 你以为RCE后就完了吗 很多时候有小伙伴在getshell以后就不知道要干嘛了,在渗透测试中,getshell只是第一步,本文来自团队内部成员...
实战 | 一次摸鱼摸到某网站的渗透测试
扫码领资料获黑客教程免费&进群找到注入点故事的起因还是因为我太闲了,上班摸鱼。摸着摸着就摸到了某个网站的查询框。接着老毛病就犯了,上去就输入了个1查询接着输入了1’啧啧啧,这明显有SQL注入哇...
网站重构中后台登录密码绕过方法
原文始发于微信公众号(网络安全与取证研究):网站重构中后台登录密码绕过方法
【红蓝对抗】某门户系统授权渗透测试
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!前言目标系统使用SiteServ...
中资著名手机品牌疑似被黑,11GB内部敏感数据泄露
关注我们带你读懂网络安全地下数据泄露市场用户声称,成功通过故障和错误获得了摩托罗拉移动的JIRA系统备份控制面板访问权限,并窃取了约11GB数据。前情回顾·智能设备网络威胁态势紫光展锐处理器曝严重漏洞...
数千网站使用受损的FTP凭证被劫持
云安全初创公司 Wiz 警告说,一场广泛的重定向活动已经导致数千个针对东亚受众的网站使用合法的 FTP 凭据遭到破坏。在许多情况下,攻击者设法获得高度安全的自动生成的 FTP 凭据,并使用它们劫持受害...
由点到面-从事件型漏洞到通用型漏洞的发掘
前言本文主要记录我从事件型漏洞到通用型漏洞的发掘过程,由于不可描述的原因,所以本次挖掘分享点到为止,将不涉及后台和服务器的渗透,主要分享挖掘思路。打码比较厉害,请多多见谅。首个漏洞挖掘过程注册一个测试...
实战 | 记一次钓鱼客服到拿下服务器全过程
又是阳光明媚的一天无意中翻啊翻啊翻到一款资金盘对资金盘这种诈骗的,诈骗老百姓的钱,在国外躲着,真是无话可说资金盘plus呢左看右看没啥东西,看看客服系统能不能打xss。吊毛客服居然不在线,这套客服系统...
TouchEn nxKey键盘加密应用程序出现的许多漏洞很容易使其被黑化
TouchEn nxKey是韩国安全软件公司Raonsecure开发的端到端加密应用程序,用于保证键盘使用时的全方位安全,目前这个应用程序主要用于韩国的金融业务,在韩国几乎所有电脑上都安装了这款软件。...