昨天(3月27日),EclecticIQ 研究人员发布了一份报告称:黑客攻击了印度政府和能源公司,目的是传播一种名为 HackBrowserData 的开源信息窃取恶意软件。该软件能够在某些...
前言:支付类逻辑漏洞在漏洞挖掘中是常常出现的问题之一。此类漏洞挖掘思路多,奖励高,是炙手可热的漏洞。此篇文章主要围绕挖掘支付逻辑漏洞时的一些思路分享。支付逻...
近日,有研究人员称机器人平台 Top.gg Discord 受到了来自黑客的供应链攻击, 并在开发人员感染恶意软件后窃取平台的敏感信息。据悉,该平台拥有超 17 万名成员,是一个...
sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的...
1.Kali Linux耳熟能详、使用最多的一款专门用于渗透测试的黑客专用操作系统, 现在是一个全球团队项目, 全世界很多安全专家参与其中, Kali为用户提供了一个完整的...
近日,印度一家非银行性质地金融公司 IKF Finance 泄漏了超过 3 TB 的敏感客户和员工数据,可能暴露了其整个用户群体。Cybernews研究团队发现,一个配置错误的MongoDB...
近日,宏碁(Acer)菲律宾公司方面证实,管理该公司员工考勤数据的第三方供应商遭遇网络攻击,部分员工数据被盗。 宏碁,中国台湾计算机硬件和电子产品制造商,以其电脑产品极...
工具简介该工具是使用javaFX开发的基于信息收集进行组合生成密码字典的工具,可以快速组成密码字典。 工具使用使用JDK8启动,命令如下: java -jar dicttools-1.0-SNA...
写在前面的比赛是分初赛、淘汰赛、决赛三场,初赛时候忘记留题了所以现在没法写成wp,只能从淘汰赛开始写。也的确有大佬发的比我早但有题目可能是大佬写错了答案好像...
从CVE-2023-21839到CVE-2024-20931前言某天刷手机看到微信公众号上发布的漏洞通告 "Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)" 就联想到了WebLogic...
JNDIJNDI(全称Java Naming and Directory Interface)是用于目录服务的Java API,它允许Java客户端通过名称发现和查找数据和资源(以Java对象的形式)。与与主机系统接...
国家秘密是一个国家高度机密的信息或行动,其保密程度直接关系到国家安全和国家利益。举个简单例子,泄露军事机密可能导致敌对势力获取关键情报而对国家安全构成威胁...
网络安全研究人员近期发现 WordPress LiteSpeed Cache 插件中存在一个安全漏洞,该漏洞被追踪为 CVE-2023-40000,未经身份验证的威胁攻击者可利用该漏洞获取超额权...
前几天网上闹了个大乌龙,在windows更新后很多win10电脑发现开机白屏,最后发现是火绒误删explorer.exe导致系统卡死,而后火绒也发布了官方声明。有趣的是,bilibili作者...
引言在近几十年中,人工智能 (AI) 已经从科幻概念逐步转变为实际应用,渗透到社会的每个角落。从为电商网站推荐个性化商品,到自动制导车辆,再到帮助医生诊断疾病,AI的应...
关于GAP-Burp-ExtensionGAP-Burp-Extension是一款功能强大的Burp扩展,该工具在getAllParams扩展的基础上进行了升级,该工具不仅可以帮助广大研究人员在安全审计过程...
写在前面的话在当前不断发展的网络威胁环境中,电子邮件已经成为了网络钓鱼攻击的主要目标。威胁行为者正在不断采用更复杂的技术方法来绕过安全监测机制并欺骗目标...
准备环境:官网下载node.js1node -v命令验证是否安装完好(出现版本信息即可)2继续配置环境(cmd进入输入以下命令)npm install esprima css-tree cssbeautify vm2 ug...
浅析 MYSQL数据库SQL 注入漏洞什么是 SQL 注入从客观角度来看,SQL 注入是因为前端输入控制不严格造成的漏洞,使得攻击者可以输入对后端数据库有危害的字符串或符号,...
近几年,在政策、市场和技术等因素的共同驱动下,我国云计算产业年均增速超过 30%,全国累计上云企业超过 380万家,内云计算骨干企业在大规模并发处理、海量数据存储等关...
2023年,网络攻击背后的动机和所采用的方法一如既往的多样化。无论是出于经济利益、政治议程还是纯粹的恶意目的,网络犯罪分子都会利用网络安全防御的缺口,寻找切入点...
勒索软件团伙 Cactus 已经浮出水面,攻击者凭借高超的技术水平,精心开发了勒索软件进行攻击,并且具备多种方式进行检测逃避。勒索软件团伙Cactus 使用独特的加密方式...
关于NetworkAssessmentNetworkAssessment是一款功能强大的网络安全威胁评估与审计工具,该工具旨在帮助广大研究人员分析pcap文件并检测目标网络中潜在的可疑网络流...
近日,卡巴斯基安全研究人员Boris Larin披露了iPhone历史上最复杂的间谍软件攻击——三角测量(Triangulation)的技术细节。自2019年以来,“三角定位行...
作者:凝前言:我认为docker容器逃逸也算是提权的一种手法,要更好的理解容器逃逸的手法,应该知道从本质上看容器内的进程只是一个受限的普通 Linux 进程,而容器逃逸...
12月18日,美国第二大互联网服务供应商Xfinity 透露,10月份发生的一起网络攻击泄露了多达近3600万用户的敏感数据。Xfinity由康卡斯特公司所属,为美国用户提供宽带互...
美国抵押贷款巨头库珀先生(Mr.Cooper )发出通告称,近期的一次网络攻击已经泄露了 1470 万曾在该公司抵押贷款的客户数据。根据调查,攻击者在 2023 年 10 月 30 日至 ...
前言由客户授权,组织一场钓鱼攻防演练专项,以此来提高员工安全意识。本次演练通过自搭邮件服务器以及搭建钓鱼平台Gophish来完成,通过附件携带木马以及制作钓鱼页面...
任意用户登录漏洞挖掘思路前言任意用户登录漏洞以利用漏洞利用难度低、危害高、奖金高已经成为src/众测漏洞挖掘中的香饽饽,本文将分享一下众测/src中任意用户登录...
在某次渗透测试中,发现了一个通用上传的点,但经过测试发现,该网站存在waf,但是最终绕过waf,成功拿到shell0x01 漏洞发现在对某网站进行渗透测试时,偶然发现一个未授权接...
Boom 简介 Boom 是一款基于无头浏览器的 Web 弱口令爆破工具。它具有以下特性: 自动识别网页是否是登录页面 自动识别爆破目标类型:表单/传统认证协议类型(Basic/...
纸上得来终觉浅,绝知此事要躬行。手册版本号:V1.2.2-2023/10/21这是一本能让你从零开始学习AWD并深入AWD的手册,如果你要参加AWD相关比赛,相信本项目能给你带来帮助~...
【web实战】钓鱼手法及木马免杀技巧简述钓鱼是攻防对抗中一种常用的手段,攻击者通常伪装成可信任的实体,例如合法的机构、公司或个人,以引诱受害者揭示敏感信息或执...
0x01 工具介绍 CVE-2017-12615 PUT文件上传漏洞 tomcat-pass-getshell 弱认证部署war包 弱口令爆破 CVE-2020-1938 Tomcat 文件读取/包含。 0x02 安装与使用 双...
关于Electron_shellElectron_shell是一款功能强大且隐蔽性极强的远程访问红队工具,该工具基于JavaScript语言开发,专为红队研究人员设计,可以利用Electron的功能来实...
Security Affairs 网站消息,丹麦计算机安全事件响应小组(CSIRT)SektorCERT 披露,丹麦关键基础设施在 5 月份遭遇了有史以来最大规模的网络攻击。据悉,威胁攻击者在 5 ...
关于VTScannerVTScanner是一款基于Python 3开发的通用安全检测工具,可以帮助广大研究人员对选定的目录执行全面的文件扫描,以实现对恶意软件的检测和分析。该工具能...
安全公司Checkmarx报告称,自今年1月以来,共有八个不同的开发工具中包含隐藏的恶意负载。最近一个是上个月发布的名为"pyobfgood"的工具。与之前的七个软件包一样,pyo...
千机-红队免杀木马自动生成器 Bypass defender、火绒、360等国内主流杀软 随机加密混淆shellcode快速生成免杀马 开发目的在攻防对抗中,免杀木马是使用频率最高的...
一款集成了多种老牌工具字典的轻量级目录扫描器,包括御剑后台扫描字典,test404网站备份,web破壳扫描器,御剑1.5扫描字典,御剑专业版字典,wwwscan字典,dirscan字典,dirsafe...
SecureWorks最新发布的《2023年威胁状况报告》显示,在2023年3月至6月的4个月时间里,勒索软件泄露网站上公布的受害者人数达到了前所未有的水平。成立已超过140年的...
项目简介 SharpWxDump的Python语言版,一款微信客户端取证工具,可获取用户个人信息(昵称/账号/手机/邮箱/数据库密钥(用来解密聊天记录)),解密脚本,获取数据库脚本;持获取...
Linux 存储系统 I/O 栈由文件系统层(file system layer)、通用块层( general block layer)和设备层(device layer)构成。其中,通用块层是 Linux 磁盘 I/O 的核心。向上,它...
随着巴以冲突的持续,相关新闻事件报道层出不穷,一些虚假内容也开始混入其中,让人真假难辨。最近,由AI生成、反映巴以冲突现场的图片出现在知名图片库 Adobe Stock...
哥斯拉是继菜刀、蚁剑、冰蝎之后的又一个webshell利器,这里就不过多介绍了。 GitHub地址:https://github.com/BeichenDream/Godzilla 很多一线师傅不太了解其中的加...
关于PinkertonPinkerton是一款功能强大的JavaScript文件爬虫与敏感信息扫描工具,该工具基于纯Python 3开发,在该工具的帮助下,广大研究人员可以轻松爬取JavaScript文...