Autorize是一款用于Web应用程序渗透测试的插件,主要用于检测授权漏洞。以下是Autorize的使用教程,帮助你了解如何配置和使用该插件:安装与配置:首先,你需要确保你的测试环境中已经安装了Au...
Tomcat 8.0后台弱口令登录及Webshell获取
1.1漏洞测试环境及搭建 1.漏洞环境版本 Tomcat版本:8.0 2.环境搭建 (1)漏洞目录 /opt/vulhub/tomcat/tomcat8 (2)docker-compos...
SDL实践之安全验证
在软件开发生命周期(SDLC)的测试或验证阶段,不同的企业因为团队或者业务模式的区别而选择不同的做法和设计,单一的安全验证流程并无法满足所有的测试场景或验证场景。比如,有的企业会有测试环境、预生产环境...
一篇文章学会csrf
本篇文章我们将详细的介绍一下CSRF的相关知识,包括原理、分类、攻击手法、修复方法等。注意测试尽量在测试环境进行,生产环境最好知道自己该干什么不该干什么!!!注意测试尽量在测试环境进行,生产环境最好知...
某次以目的为导向的内网渗透-取开发源码
本次任务是某地区软件开发公司所开发的产品,最好是能拿到源码,或者开发、测试环境的访问凭证。 首先定位目标公司的资产,使用 fofa 检索: 根据资产对应的指纹,使用一些扫描工具扫一扫: 以及新近出来的...
(一)使用VMworkstation安装ESXI7.0主机实例
1、打开VM workstation软件,点击创建新的虚拟机,选择自定义(高级),点击下一步;2、硬件兼容性选择ESXI 7.0,点击下一步;3、选择安装客户机操作系统,ESXI 7.0,点击下一步;...
某次目的为导向的内网渗透-取开发源码
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
漏洞批量扫描框架-oFx
简介一个应用于web安全领域的漏洞批量扫描框架,可被应用于但不限于如下场景:0Day/1Day全网概念验证(在没有测试环境(各种商业、闭源软件)或懒得搭建测试环境的情况下,直接写POC全网扫描,亲测很...
也谈DBA自制运维工具
首先要明确一个观点:无论是管理什么规模的数据库,作为DBA,自制工具是必要的能力,区别只在于工具的复杂性。运维人员必须具备写自动化脚本的技能。这是个人能力高低的分水岭。我之前的运维文章内容重点之一就是...
WAF类串联安全设备规则升级,如何验证对业务应用的影响? | 总第195周
0x1本周话题话题:大家升级WAF这类设备的版本和规则库,需要业务部门做业务的验证吗?A1:我们一般看WAF串联在哪些业务应用上,然后评估对应的规则库或版本更新可能影响的业务应用功能,更新后通知业...
无线网络黑客攻防
微信公众号:计算机与网络安全目录第0章 无线网络攻防案例案例1 谁破解了你的无线密码——停车场“蹭网”实战案例2 你的打印机被谁控制了?——打印机上的幽灵案例3 企业秘密被谁“偷窃”——网络“内鬼”不...
【技术原创】Python开发技巧——禁用Requests库编码url
0x00 前言我在使用Python Requests库发送HTTP数据包时,发现Requests库默认会对url进行编码。而在测试某些漏洞时,触发...
5