免责声明本公众号“猎洞时刻”旨在分享网络安全领域的相关知识,仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。本公众号中提供的所有内容都是基于作者的经验和知识,并仅代表作者个人的观点和意见。这...
起手弱口令的案例分享
0x01弱口令发现: 1.针对学校的网站进行资产收集,发现一处弱口令,使用admin/123456登录进系统,其中泄露了一些教师工号: 对系统进入挖掘,依然没有发现可以继续测试的位置,索性先交一...
新加坡将不再隐藏身份证号
点击上方蓝字关注「魔都安全札记」事件过程:新加坡会计与企业管制局(Accounting and Corporate Regulatory Authority,简称ACRA)12月9日启用新版Bizfi...
一次从信息收集到密码密码重置某大学平台渗透
信息收集到密码密码重置 本次渗透是在对某学院进行渗透时发现,一个平台在无需旧密码的情况可以重置密码,不过需要身份证号和学号。于是在信息收集的加持下也是最终完成了密码重置 01 — 在访问某平台的时候发...
漏洞挖掘—组合拳获取敏感数据信息
免责声明:文章来源于真实渗透测试,已获得授权,且关键信息已经打码处理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负...
盗号攻击的横纵切分与攻防策略
1、盗号攻击的横纵切分 目的:将盗号风险通过X、Y轴切分,实现该风险域的全局把控,同时通过线性划分,将盗号风险的攻防思路行成‘体系化策略’,避免单点、散点解决问题 2、切分后的现状 根据现状,梳理出每...
敏感个人信息到底是什么?
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。 • CONTENT • 「敏感个人信息是什么」「AIGC服务责任分配」...
黑客泄露了美国27亿条包含社会安全号码(身份证号)的数据记录
在一个黑客论坛上,美国人的近27亿条个人信息记录被泄露,暴露了姓名、社会安全号码、所有已知的实际地址和可能的化名。据称,这些数据来自国家公共数据公司,该公司收集和出售个人数据,用于背景调查,获取犯罪记...
公民网络身份的利与弊
前几日,公安部国家互联网信息办公室发布关于《国家网络身份认证公共服务管理办法(征求意见稿)》,其目的是强化公民个人信息保护,推进并规范国家网络身份认证公共服务建设应用,加快实施网络可信身份战略。根据《...
漏洞挖掘 |记一处信息泄露到登录统一平台
本文由掌控安全学院 - sbhglqy 投稿 前言 我们都知道像大学之类的各种平台的登录账号基本上是学号,初始登录密码基本上是学生身份证的后6位再拼接上一些带有学校缩写的英文字母。所以我们在找漏洞的时...
EduSRC-起手弱口令的案例分享
公众号现在只对常读和星标的公众号才展示大图推送,建议大家把ElyiumSec设为星标,否则可能就看不到啦!-----------------------------------------------...
重生第六篇之任意用户密码重置
0x01 前言叙述 目标系统是一个小额贷款网站,通过对资产进行打点,发现目标系统的安全方法做的还是很到位的,防火墙、哇夫(WAF)统统都架上了,但是网站看起来确实有点老旧,最后尝试...