确定方法/攻击向量 方法或攻击向量概括了攻击者想要如何攻击目标的详情。在攻击前的其他阶段,攻击可能会更新方法或攻击向量。 检测 可通过常见防御检测(是/否/部分): 否 解释:正常情况下,防御者无法检...
Frida入门之靶场练习(续写)
PS:这篇文章是续写了上篇文章:Frida入门之靶场练习。没看上篇文章的hxd再看这篇文章时,可能会稍微有一点没头绪,这里建议先去看下上一篇文章。不知从哪里开始说起了,这里先简单回顾一下上一关的代码逻...
Frida 实战 KGB Messenger
一前言KGB Messenger是一个类似闯关的APP,有很多关卡,通过的方法有很多种,这里我们主要用frida进行闯关。中间有很多关于算法的实现和反推演的过程,其实对于新手还是很有挑战的,当然了对于...
现代安全的当务之急:基于风险的漏洞管理
近几个月来,新闻中充斥着有关漏洞被利用的报道,例如Apple Shortcuts 漏洞、SlashandGrab ScreenConnect 漏洞、ESET 权限升级漏洞、Zoom 漏洞、Roundc...
Hikari源码分析 - AntiClassDump
本文章分析AntiClassDump的实现细节,以下源码参考来自https://github.com/61bcdefg/Hikari-LLVM15,感谢Hikari原作者以及更多贡献者的付出。 一 前...
【论文速读】| 大语言模型引导的协议模糊测试
本次分享论文为:Large Language Model guided Protocol Fuzzing 基本信息 原文作者:Ruijie Meng, Martin Mirchev, Marcel B...
网络风险建模从定性到定量
对信息安全主管而言,网络风险报告事宜举足轻重。组织内关键利益相关者常会询问CISO和网络安全主管的问题有: · 我们最重大的网络风险是什么? · 我们的网络风险得到有效管理了吗? · 我们投资的网络控...
记一次某项目管理系统SQL注入1day分析
0x00 简单梳理 在开始之前简单大概过了一下某项目管理系统的目录和路由模式,这对于理解整个原理个人认为有很大的帮助。下面对主要的几个目录做一个简答的说明。 - config下面存放了运行的主配置文件...
Java URLDNS分析
URLDNS 在 Java 复杂的反序列化漏洞当中比较简单简单;URLDNS就是ysoserial工具中⼀个利⽤链的名字,但准确来说,这个其实不能称作“利⽤链”。 因为它仅仅是一条url,一...
Win内网资产挖掘
一款基于go的windows信息收集工具,主要收集目标设备rdp端口登录、mstsc远程连接记录、mstsc密码和安全事件中。 winlog工具获取 https://github.com/i11us0...
第三方供应商风险管理的六大实践
随着云存储、软件即服务(SaaS)和人工智能、网络安全等外部产品的激增,管理第三方供应商的风险变得空前紧迫和重要。 2023年RSA会议报告发现,87%的受访CISO过去12个月遭受过源自第三方的重大...
13 种常见物理渗透测试方法
虽然许多网络安全工作的重点是保护系统和网络的安全,但重要的是不要忘记物理安全在任何网络安全计划中都起着至关重要的作用。这就是物理渗透测试发挥作用的地方。 物理渗透测试模拟现实世界的威胁场景,...