应用程序 - 第 43 | CN-SEC 中文网

安全文章

API 的5 大身份验证安全隐患

最近一连串的 API 安全事件（Peloton、Experian、Clubhouse 等）无疑迫使许多安全和开发团队仔细检查他们的 API 安全状况，以确保它们不会成为下一个被攻击对象。创建面向外部受...

03月01日95 views评论

阅读全文

安全文章

百度系应用WormHole漏洞细节

WhiteCell-Lab大牛波妞最新译作========================================================百度moplus SDK的一个被称为虫洞（Wo...

03月01日262 views评论

阅读全文

安全文章

Python的黑客技能：快速提取Windows密码和Wi-Fi密钥凭证！

点击上方“安全优佳” 可以订阅哦！在做渗透测试时，拿到一个目标机器时，提取密码凭据是信息收集中首要任务。这些凭据可以让攻击者更深入到网络或其他帐户，但是手动提取是比较麻烦的，有可能会错失一个密码，失去...

02月28日156 views评论

阅读全文

安全文章

ICMP隧道进行文件传输－一个学习的case

在最近的一个渗透测试项目中，我们遇到的一种情况，服务器上不允许出站流量。只有ICMP（和DNS）的流量被允许。在这篇博客文章我们来讨论如何使用ICMP隧道传输一个未被过滤的数据。设定一个场景，场景是一...

02月28日483 views评论

阅读全文

程序逆向

DLL劫持详解

基础知识DLL(Dynamic Link Library)文件为动态链接库文件，又称“应用程序拓展”，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独...

02月27日69 views评论

阅读全文

云安全

零信任应该遵循模型而不是工具

零信任模型正在成为主流的理由是充分的。高级攻击的增加，以及包括迁移到混合云和远程工作在内的 IT 趋势，需要更严格和更精细的防御。零信任可确保对每个设备、每个应用程序和每个获得每个资源访问权限的用户进...

02月25日75 views评论

阅读全文

安全闲碎

“无密码登录”需要走出死胡同

为了保护应用和数据的安全，我们每个人都在使用十多个甚至近百个密码。如果用户需要记住数百个用户名和密码组合，还要定期更改，他们往往会重复使用相同的组合。这使得网络犯罪分子更容易得逞，Verizon最近的...

02月24日59 views评论

阅读全文

安全文章

如何避免Web应用程序安全测试中的API盲区？

应用编程接口（API）是现代Web应用程序开发的一个重要部分，它们在整个Web攻击面中占有相当大的比重。在现实世界中，企业进行Web应用程序安全测试时覆盖整个攻击面，同时又满足测试准确性和工作流高效集...

02月21日66 views评论

阅读全文

安全文章

带外应用安全测试-理论篇

先理论后实践什么是OAST安全测试带外应用程序安全测试是使用外部服务器来帮助我们来查看无回显的漏洞。了解一下目前主流的集中应用安全测试技术。DAST: 动态应用程序安全测试（Dynamic Appli...

02月21日181 views评论

阅读全文

安全闲碎

译文 | CAPTAIN HOOK - 半自动化寻找 JAVA 程序中的漏洞

开卷有益 · 不求甚解前言在我 6 个月的实习期间，我开发了一个工具来简化对 Java 应用程序的漏洞研究。我使用了几个软件和库，在开发这个工具 Captain Hook 的过程中遇到了很...

02月21日76 views评论

阅读全文

安全文章

供应链攻击是什么？以及如何处理

过去两年对供应链造成了重大破坏。新冠大流行将供应链攻击问题推向了前沿，2020 年中断率上升了 67%，随着全球市场适应“新常态”运营，问题预计将持续存在。然而，对数字供应解决方案的日益依赖也为供应链...

02月21日622 views评论

阅读全文

安全工具

API 的5 大身份验证安全隐患

百度系应用WormHole漏洞细节

Python的黑客技能：快速提取Windows密码和Wi-Fi密钥凭证！

ICMP隧道进行文件传输－一个学习的case

DLL劫持详解

零信任应该遵循模型而不是工具

“无密码登录”需要走出死胡同

如何避免Web应用程序安全测试中的API盲区？

带外应用安全测试-理论篇

译文 | CAPTAIN HOOK - 半自动化寻找 JAVA 程序中的漏洞

供应链攻击是什么？以及如何处理

最新BurpSuite2022.2破解

在线咨询

微信