文章来源:安全学习那些事儿2022年1月20日,中国人民银行南宁中心支行发布的一则行政处罚信息公示显示,中国农业银行崇左分行被罚1142.5万元。另外,该分行内5名相关责任人被罚,最高达11万元。处罚...
分享 | 实战中的越权攻击总结
一、简介:文章来源:白帽子左一作者:一线卑微安服仔原文地址:https://www.freebuf.com/vuls/313396.html本篇是对今年渗透测试遇到的越权攻击进行一下总结,下面总结的照...
17家大公司的110万个账户被破坏
根据纽约州的一项调查显示,在针对17家不同公司的一系列凭证篡改攻击中,已经有超过110万个在线账户遭到了破坏。凭证填充攻击,如去年对Spotify的攻击,攻击者使用自动脚本对在线账户进行了大量的用户名...
Windows系统安全|Windows Server系统加固
目录账户管理、认证授权 管理账户 管理口令 授权审核策略IP协...
一张图片怎么做到让攻击者黑进微软团队账户?
微软(Microsoft)在其团队的工作场所视频聊天和协作平台上修补了一个类似蠕虫的漏洞,攻击者通过发给受害者一个看似无害的图像,结果却是恶意链接,进而黑进一个团队全部账户。点我呀!这一影响桌面版和网...
Windows服务器主机加固分享
一、禁用Guest账户和无关账户Guest账户为黑客入侵打开了方便之门,黑客使用Guest账户可以进行提权。禁用Guest账户是最好的选择。操作流程:进入“控制面板->管理工具->计算机管...
【安全基线】Windows终端合规安全设置
一、身份鉴别策略组检测 密码策略密码长度最小值大于等于8个字符密码最短使用期限大于等于2天密码最长使用期限小于等于90天保留密码历史数量大于等于5个加固方案-参考配置操作:1.进入“控制面板...
利用S4u2self进行本地提权
S4u2self可以被用来进行本地提权,假如你拿到一个服务帐号如iis此类的账户,便可以完成此类攻击。因为所有具有spn的用户都可以请求S4U2self。这里以一个计算机账户作为演示。我们先利用tgt...
Twitter承认错误验证了“少量”虚假账户
Twitter 本周一承认,它错误地验证了“少量”虚假账户。为此,平台以违反平台操纵和反垃圾邮件为由,永久停用了这些用户账号并取消了它们的蓝色徽章。这一错误引起了人们对该公司核实著名、真实和活跃账户的...
服务器被黑后,抓出后门账户思路
情况一:发现公司一台正式生产服务器(有公网IP)的root密码被修改,导致无法登陆服务器 1)进入单用户模式修改root密码,服务器在身边,自己修改&nb...
【转载】来自API的威胁以及对API的防护
数世点评 当应用接口越来越多的时候,API的使用风险就必然会增加,攻击者就会开始频繁使用API的漏洞进行攻击。API的安全性也自然而然会被更多的人重视。今年的ISC创新独角兽沙盒...
Windows系统账户隐藏技巧
0x001 系统账户隐藏渗透一台主机后,一般都想办法给自己留后门,其中使用最多的就是账户隐藏技术。账户隐藏技术可谓是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此危害性很大,本文就对隐藏账户...
19