前言一次重保项目,通过社工+IP定位的方式成功溯源出攻击者身份信息,包括微博,百度,58,腾讯优酷等多个账号接管。溯源IPS告警,发现源IP地址使用360威胁情报中心显示三个通信样本查看通信样本信息,...
警惕!新型钓鱼攻击利用 Google 广告窃取 Onfido 用户信息
一场新的网络钓鱼活动出现了,它并非通过收件箱来骗取信任,而是借助 Google 广告。Push 的安全研究人员发现了一场恶意广告活动,其目标瞄准了 Onfido 的用户。Onfido 是一个在金融科技...
红队进阶:通过 HKU 快速锁定高权限账户与横向移动路径
导语在域渗透的过程中,获取域内其他机器的登录用户信息是一个非常重要的步骤。通过这一步骤,红队可以进一步扩展攻击面,识别潜在的横向移动路径,甚至发现高权限账户的踪迹。本文将详细探讨如何通过 reg qu...
16分钟读取2639次用户位置信息,手机软件隐私刺客如何防范?
“我的手机软件在偷偷监视我?”4月某天,网友程薇偶然间发现,她手机中的某应用软件在“16分钟内获取了2639次手机位置信息”。这条记录把程薇“吓了一跳”,她告诉央视网《新闻+》记者,自己只在当天中午打...
基于Spring-boot的医药管理系统审计
扫码加圈子获内部资料网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈...
『工具使用』静态分析移动应用收集个人用户信息权限的方法
点击蓝字 关注我们日期:2025年4月9日作者:L-Noname介绍:静态分析移动应用收集个人用户信息权限的方法。0x00 前言本篇主要讲静态分析移动应用收集个人用户信息权限的方法,主要是通过Apkt...
浅谈SSO认证原理及常见安全问题
前言在一次测试过程中,遇到了一个公司的应用全部采用SSO登录的情况,所以就了解了一下SSO系统的原理以及可能存在的安全问题。简介单点登录是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应...
X平台数据泄露:28亿用户信息曝光,幕后黑手竟是内部员工?
近期,全球社交平台X(原Twitter)陷入了一场空前严重的数据泄露风波,据称有高达28亿条用户个人信息被泄露,这一数字远远超出了X平台现有的约3.357亿用户规模。据爆料者ThinkingOne称,...
网络爬虫窃取用户信息的原理
在互联网这个信息浩瀚如海的时代,网络爬虫就像一只只勤劳的 “蜘蛛”,在错综复杂的网络蛛网上穿梭、探索,为我们收集海量宝贵的数据,今天就来揭开它神秘的面纱。01定义网络爬虫,也叫网页爬虫或者网络蜘蛛,它...
【内网渗透基础】一、信息收集
一、查询本地主机信息 查看用户信息 获取主机上的用户信息 当前用户信息:whoami /user #查看当前用户信息whoami /priv ...
震惊!YAK-JWT靶场的通关方式竟然是...
打开jwt靶场是一个登录页面 尝试弱口令admin/admin成功登录。 通过抓包可以看到,整个登录过程主要是3个请求:第一个页面:https://127.0.0.1:8080/jwt/...
HeapDump【敏感信息提取工具】
近期在搞安全演练,每天可忙得晕头转向。总是要对各种使用 Spring 框架的 Java 应用程序进行安全审计,检查它们是否存在信息泄露这类安全隐患。这时候,发现 Spring 框架的 Java 应用程...