白名单 - 第 7 | CN-SEC 中文网

安全文章

BypassUAC姿势一|基于白名单注册表劫持BypassUAC（带脚本和编译程序）

此文章由aoman安全研究师傅产出。呆哥问：“能帮我免杀一下吗，ao哥？”答：“发来。”；呆哥问：“ao哥，客户中勒索病毒了，能帮我整个分析报告不？”答：“来样本。”aoman师傅人狠话不多，他是呆哥...

08月15日57 views评论

阅读全文

安全闲碎

子域搜集：终极黑客之旅

简介👾 对于红队测试中，完整功能，基于完整工作流的资产搜集探测工具BBOT👾 可视化子域名扫描，多功能信息搜集，爆破，被动 / 主动搜集，功能完善，人工智能驱动，渗透测试，漏洞赏金。递归深入挖掘的方式...

08月09日76 views评论

阅读全文

安全工具

SmartBI远程代码执行利用工具

工具简介 SmartBI登录代码逻辑漏洞导致的远程代码执行利用工具，所有请求与响应均使用RMICoder进行编解码，规避现有流量设备检测。支持功能：登录代码逻辑漏洞检测命令执行文件上传内存马注入用户...

08月06日166 views评论

阅读全文

安全闲碎

如何使用nginx精准禁止特定国家或者地区IP访问和设置白名单（回复粉）

需求：对网站的信息，比如某个访问节点不想国内或者国外的用户使用，禁止国内或者国外或者精确到某个城市的那种情况。解决方式：1.Cloudfalre来实现禁止特定国家的ip访问，比较简单，但是需要mone...

08月02日71 views评论

阅读全文

安全文章

常见地图key泄露与修复

前言目前很多的网站都是用了地图工具来进行定位，如果没有对地图工具的key进行有效的管控，则有可能导致地图key的滥用。泄露地图key如下系统在js中写明了百度地图的api key值，在没有配置调用白名...

07月15日700 views评论

阅读全文

安全漏洞

科荣AIO moffice 存在SQL注入漏洞

资产收集 icon_hash="-638292089" 漏洞复现发送请求 GET /moffice?op=showWorkPlan&planId=1';WAITFOR+DELAY+'0:0:...

07月08日25 views评论

阅读全文

关于员工上网行为管理与防范恶意域名的策略探讨

‍‍‍‍ 0x1本周话题话题：各位大佬，不知道大家有没有为了防范员工被钓鱼，用上网行为管理控制互联网白名单的经历，我们启用后，为了避免员工意见太多，基本是允许了所有类型的上网，包括了企...

07月08日企业安全16 views评论

阅读全文

安全工具

Search_Viewer：集成多个测绘平台的图形化工具

工具介绍集Fofa、Hunter鹰图、Shodan、360 quake、Zoomeye 钟馗之眼、censys 为一体的空间测绘gui图形界面化工具，支持一键采集爬取和导出fofa、shodan等数...

06月26日68 views评论

阅读全文

安全工具

密探渗透工具

缘起对于网络安全的小白来说，在渗透学习过程中太多的知识和技巧需要掌握，密探借鉴superSearchPlus (不会安全的开发)的，御剑文件扫描等工具，根据自己的理解和总结，开发这款“密探”渗透工具...

06月25日39 views评论

阅读全文

安全文章

记一次绕过后缀安全检查进行文件上传

原文由作者授权，首发在奇安信攻防社区 https://forum.butian.net/share/1596 在Windows系统中，如果保存文件的文件名是以点结尾，系统会自动将点去掉。...

06月24日49 views评论

阅读全文

代码审计

代码安全审计经验分享

SQL注入 01 MyBatis框架中的注入漏洞 Mybatis框架支持的CURD功能可以直接搜索XML文件中的${和${}拼接的SQL语句，如果SQL的参数可控，就可能造成注入风险。另外，有的SQ...

06月22日37 views评论

阅读全文

安全工具

微软免费工业安全检测工具：ics-forensics-tools

这个名为ICSpector的新工具建立在一个开源框架之上，该框架有助于检查工业可编程逻辑控制器，一组用于管理和控制工业环境中不同操作的硬件和软件组件。虽然 PLC 是工业控制系统的组成部分，并用于...

06月18日31 views评论

阅读全文

BypassUAC姿势一|基于白名单注册表劫持BypassUAC（带脚本和编译程序）

子域搜集：终极黑客之旅

SmartBI远程代码执行利用工具

如何使用nginx精准禁止特定国家或者地区IP访问和设置白名单（回复粉）

常见地图key泄露与修复

科荣AIO moffice 存在SQL注入漏洞

关于员工上网行为管理与防范恶意域名的策略探讨

Search_Viewer：集成多个测绘平台的图形化工具

密探渗透工具

记一次绕过后缀安全检查进行文件上传

代码安全审计经验分享

微软免费工业安全检测工具：ics-forensics-tools

在线咨询

微信