Part1前言这篇文章源于之前做的某银行的红队评估项目,第一次打进去用了一个客服系统的0day漏洞,而且一直打到了银行的核心区。半年后项目续签,开始了第2轮红队评估项目,再想打进去就非常困难了。代码审...
开源web应用中存在三个XSS漏洞,可导致系统遭攻陷
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士PT Swarm 公司的研究人员在热门的开源开发应用Evaluation CMS、FUDForum 和 GitBucket中发现了三个跨站...
靶场科普 | 文件上传之MIME绕过
点击上方蓝字关注,更多惊喜等着你本文由“东塔网络安全学院”总结归纳靶场介绍文件上传之MIME绕过今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“文件上传之MIME绕过”。一、实验介绍1. 文件上...
HW:Web安全测评
微信公众号:计算机与网络安全▼针对典型的Web应用安全测评,可以将其划分为以下5个阶段:资产划分、信息收集、漏洞识别、安全评估以及解决方案的制定。1、资产划分在Web安全测评中,资产划分是所有工作的基...
HW红队|攻防演练中攻击方的思路总结
前言在本篇文防演练中攻击方是如何打开缺口的方法的总结。本篇文章数据来源于18+省市级别HVV,90+单位失陷报告。(一部分是笔者的参与,一部分是薅的公司其他师傅的报告)思路朴素不包含钓鱼和叼炸天的0d...
常见web应用服务器分析
原文始发于微信公众号(网络安全与取证研究):常见web应用服务器分析
靶场科普 | 文件上传之文件头绕过
点击上方蓝字关注,更多惊喜等着你本文由“东塔网络安全学院”总结归纳靶场介绍文件上传之文件头绕过今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“文件上传之文件头绕过”。一、实验介绍1. 文件上传漏...
Web应用安全七大致命错误
阿卡迈(Akamai)最近的《互联网安全状况》报告中写道:“绝大部分Web应用攻击都是没有特定目标的大范围漏洞扫描,但少数攻击确实是为入侵特定目标而进行的针对性尝试。无论哪种情况,攻击都非常频繁而‘嘈...
客户案例|以攻击溯源技术为盾 为金融Web安全打造硬核防御体系
客户痛点近年来,网络安全形势愈发严峻,病毒勒索、黑客入侵、信息泄露等信息安全事件层出不穷,尤其是给金融行业带来了巨大的经济损失。某金融行业客户的互联网区域部署众多Web应用,有效防护和监测Web应用安...
Web应用隔离防护之自动化扫描与攻击
背景一台Web应用服务器开放到公网上,几分钟之内,就会产生访问流量。如果该服务器开放的端口是常见的443或者80,被发现的速度更快,被探测的频率也会非常频繁。这些扫描和探测服务器的流量中,绝大部分都是...
红队第5篇:MS12-020蓝屏漏洞在实战中的巧用
Part1 前言 大家好,上期分享了一篇Shiro Oracle Padding反序列化漏洞无key的实战文章,这期讲一个MS12-020蓝屏漏洞的真实利用过程。这个案例源于20...
浅谈SSRF
01 什么是SSRF?SSRF(Server-side Request Forge, 服务端请求伪造)是由攻击者构造形成由服务端发起请求的安全漏洞。一般 情况下,SSRF攻击的目标是从外网无...
6