介绍在上一篇博文中,我们深入研究了 Lucee 的内部工作原理,并查看了 Masa/Mura CMS 的源代码,并意识到其潜在的攻击面之广。显然,花时间理解代码是值得的。经过一周的探索,我们偶然发现了...
最新报告:2024 年网络攻击总量达 3110 亿次,AI API 漏洞成罪魁祸首
根据 Akamai 的最新报告,2024 年Web 攻击增加了 33%,其中 API 成为主要攻击目标。这一增长主要是由于人工智能应用的快速普及,导致了攻击面的扩大。新数据显示,2024年Web攻击增...
解读2024年网络攻击趋势
网络安全公司Mandiant发布了《M-Trends 2025》报告,基于其2024年参与的事件响应工作,梳理了全球网络攻击趋势。01核心趋势与洞察2024年,Mandiant处理的金融行业安全事件占...
攻击面管理(ASM)全景解读:从资产发现到风险收敛
在数字化浪潮席卷的当下,企业的网络边界愈发模糊,网络安全面临前所未有的挑战。攻击面管理(Attack Surface Management,简称 ASM)作为应对复杂安全威胁的关键手段,正逐渐成为网络...
赏金猎人 | 利用 Web3 的隐藏攻击面:Netlify Next.js 库上进行XSS攻击
前言随着 Phantom、Metamask 和 Coinbase Wallet 等 Web3 浏览器扩展程序的推出,越来越多的看似“静态”的网站允许用户直接从浏览器与以太坊和 Solana 等区块链网...
工具集: AttackSurfaceMapper 【结合开源情报和主动技术的攻击面侦察工具】
声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!【文末获取工具】🐉工具介绍AttackSurfaceMapper(ASM)是一款用于信息侦查的工具,结合了开源情报(OSINT)...
HVV Windows【安全加固】手册
安小圈第641期HVV · Windows安全Windows系统安全加固是保障计算机环境稳定的关键步骤,需从系统配置、权限管理、漏洞防护等多维度入手。1. 账户与密码策略强制启用高强度密码策略,密码长...
amass 开源的攻击面和资产发现的工具
工具介绍OWASP Amass 项目开发了一个框架,帮助信息安全专业人员使用开源情报收集和侦察技术执行攻击面网络映射和外部资产发现。 该框架包括用于资产发现的收集引擎、用于存储发现的资产数据库以及各种...
攻防速写|越狱的宇树机器狗
人类驯化灰狼的历程,是一部跨越四万年的文明契约——我们用火把与耐心褪去它们眼中的野性,让獠牙化为守护家园的忠诚。当美国的波士顿动力和中国的宇树科技创造的各式机器狗在聚光灯下灵巧翻跃时,这种古老的共生关...
红队技巧分享:看看二进制漏洞研究与免杀相结合
之前在一篇文章里提到过使用编码兼容性问题来绕过一些命令执行的检测。Windows编码是个很大的攻击面,用在免杀方面其实有点大材小用,一个非常棒的资料参考:https://blog.orange.tw/...
漏洞挖掘的九种思维
No.0推荐语本地知识库里,看到的一位大佬的分享,内容很优秀,认真通读一遍,深切的体会到了自己与大佬之间的差距,其中避免原子性思维真的让我茅塞洞开,分享给喜欢挖洞的同学。,我是前言漏洞挖掘-思想建设最...
超过 37000 台 VMwareESXi 服务器可能受到持续攻击威胁
点击上方蓝字关注我们近日,威胁监测平台影子服务器基金会(The Shadowserver Foundation)发布报告,指出超 3.7 万个互联网暴露的威睿(VMware)ESXi 实例存在严重安全...