看了那么多漏洞挖掘文章为什么还是挖不到漏洞?其实大多数的漏洞挖掘文章可能只能算漏洞复现文章。在这种web环境下,我觉得难的不是怎么测一个漏洞点,而是怎么找一个漏洞点。本文从挖洞过程的思路出发,完整讲述...
05月30日43 views评论域名
页面
登录框实战
05月30日43 views评论域名
页面
05月30日43 views评论域名
页面
红队信息收集
1、背景最近参加了一次攻防演练,因为准备不够充分导致结果差强人意,事实证明,没有一个清晰的思路在这个拼手速的时代是干不过人家的,事后重新梳理总结一下。其实也没什么新东西,总体大概就是尽可能全面的搜集资...
05月19日136 views评论域名
安全入门 – 域名抢注
概述域名仿冒尝试利用用户在地址栏中直接输入URL 时引入的印刷错误(即“打字错误”)。通过利用用户错误,网络威胁行为者将毫无戒心的用户引导至与原始域名极为相似的非法域名。这种策略涉及购买和注册与现有域...
05月13日26 views评论域名
字符
假死疑云:Wpeeper木马所图为何?
2024年4月18日,XLab的未知威胁狩猎系统发现一个VT 0检测的ELF文件正通过2个不同的域名传播,其中一个域名已被3家安全产商标注为恶意,另一个域名为近期注册且无任何检测,这个异常点引起了我们...
04月30日安全新闻21 views评论c
域名
如何构建内网域名系统
如果内网系统访问还在使用IP来进行访问,可以试着搭建域名系统,即DNS服务。因为域名比IP更好记,并且内部域名可以随意命名,比如 it.com、hisdb.com为了防止域名冲突,内网域名可以使用DN...
04月25日34 views评论ip
域名
CVE-2024-21413 Outlook远程代码执行漏洞分析
一、前言Microsoft Office Outlook是微软office的组件之一,也是常用的邮件客户端之一。CVE-2024-21413 是在 Microsoft Outlook 中发现的一个重大...
04月24日44 views评论域名
邮件
一个IP Getshell
收集 开局只有一个IP:103.xx.xx.99,基本信息如下: thinkphp 3.1.3 + iis 7.5 + php 5.4.28 + Windows Server 2008 R2 域名 通...
04月19日21 views评论cn
域名
邮件域名防止伪造的三种方式
在进行垃圾邮件投放时,经常会伪造知名平台的邮件来作为发送方,来提高用户对邮件的信任度,提高钓鱼邮件的成功率,但是作为知名公司,要尽量避免自家的域名成为黑客利用的目标,从而降低公司信誉,所以要对自家的域...
03月28日27 views评论ip
域名
网络安全-CDN绕过小结
CDN原理CDN全程内容分发服务,本质上是为了给不同地区的用户提供加速访问服务,就近选取节点,但是由于他所提供服务的性质,CDN也可以用来减少服务器压力,隐藏真实ip我们想要获取到服务器的真实ip,就...
03月04日25 views评论域名
子域名
CDN绕过方法小结,看这一篇就够了!
CDN原理用户请求——>CDN节点——>真实服务器——>CDN节点——>用户CDN全程内容分发服务,本质上是为了给不同地区的用户提供加速访问服务,就近选取节点,但是由于他所提供...
03月04日36 views评论域名
子域名
银行环境中IP封禁的实践及域名端口的合规讨论 | 总第233周
0x1本周话题 话题一:一个域名下不同端口挂载不同应用系统,这样算合规吗? A1:在我们这里不合规。 Q:风险点是? A2:一个挂了都挂了。 A3:一个出口IP挂一堆域名,单独拎出来的域名加端口都能解...
02月26日企业安全38 views评论ip
端口
通过发现参数值实现任意用户登录
0x01 前言 最近一段时间身体不适,微信多位师傅好友申请以及公众号留言没来得及回复,麻烦师傅们见谅。 我一直认为漏洞挖掘的根本在于信息收集,如:子域名,隐藏的接口,隐藏的参数等等。下面我将分享一次通...
02月25日20 views评论域名
暴力破解
46