以前做 SQL 注入漏洞检测,要么手动去一点点试,要么用命令行工具,比如 SQLMap。手动检测效率低,有时候一个命令输错,就得重新来,浪费不少时间。最近发现了一款超棒的工具——SQLMap 可视化工...
信息安全工程师备考笔记-计算机网络篇
一、IP地址与子网划分1、专用地址范围:A类:10.0.0.0-10.255.255.255;B类:172.16.0.0-172.31.255.255;C类:192.168.0.0-192.168.2...
Favihunter:使用图标哈希值资产发现
最近我们团队在参加一场红蓝对抗演练,红队那是想尽办法要突破我们的防线,而我们蓝队得全面防守,还要去摸清楚红队可能会利用的我方资产信息。这时候,找资产就成了一项特别重要的工作。 在之前类似的安全活动里,...
XunFeng【适用于企业内网的漏洞快速应急,巡航扫描系统】
最近找到了一款开源的网络安全工具——巡风,用着还挺顺手,跟大家分享分享。特别适合像hvv行动、zb任务这种场景,用于快速掌握企业内网的资产分布情况,还得在短时间内找出潜在的漏洞,及时做好应急处理。巡风...
SpiderX【JS加密自动化绕过工具】
在一些安全活动中,我们常常会遇到一个头疼的问题:现在很多系统的前端传参加密率越来越高了,根据OWASP 2023的数据,前端传参加密率年增35%。这就导致我们传统的渗透测试方法很难发挥作用,尤其是在进...
MySQL Fake Server【高级版MySQL_Fake_Server】
最近在护网演练里又碰上个头疼的活儿——甲方系统里有个老版本的MySQL驱动,每次渗透测试都得手动构造payload,结果上周发现个好东西,直接把效率提升了3倍不止。你们知道hvv期间最煎熬的是什么吗?...
【免杀思路】无视杀软扫描-静态篇
0x01 声明本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统等目的,一切后果由使用者自行承担!!!0x02 加密技术异或加密#include<stdio...
量子计算对传统信息安全的冲击与变革
量子计算技术的突破性进展为计算科学带来了革命性的变化,但其对传统信息安全的影响也不容忽视。面对量子计算的威胁,信息安全领域亟须采取新的策略来保障数据的机密性、完整性和可用性。本文将从应对策略的角度出发...
pe_to_shellcode【将PE文件转换为shellcode】
之前在做hvv行动,期间要对系统进行各种安全测试和漏洞排查。在这个过程中,经常会遇到需要对 PE 文件进行特殊处理的情况。比如说,我们想要把一些 PE 文件注入到目标进程里进行测试,看看系统会不会出现...
harpThief【一键提取和修改EXE文件的图标、资源信息、版本信息、修改时间、数字签名】
之前hvv被甲方爸爸折腾得够呛吧?昨天凌晨三点盯着告警台的时候又抓到一个有意思的样本,伪装成某大厂升级程序的木马,壳套得那叫一个严实——这时候我突然想起来去年某次攻防演练掉过的坑。当时我们在某金融客户...
微软和亚马逊的量子计算进展给加密带来新的风险
导 读微软、亚马逊和谷歌都宣布了量子计算的最新进展,这可能会加速现有加密标准的淘汰。这些发展表明,解决量子计算对现有加密协议造成的漏洞将变得越来越重要。在技术竞赛中处于领先地位的是那些正在推进量子计算...
盘点几种常见的密码前沿技术
量子密码:开启绝对安全通信新时代在量子力学的神奇世界里,量子密码应运而生,为通信安全带来了前所未有的变革。量子密码是一种基于量子力学原理的加密技术,它利用量子态的特性来实现信息的安全传输,其安全性基于...