我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧
- 对Electron架构应用程序进行白盒安全测试,通过开放重定向跳转漏洞,提权到远程代码执行漏洞(RCE)。
- https://www.023niu.com 2020-08-27 13:08:03
- 在对Electron架构应用程序进行的白盒安全测试中,通过该应用程序中的一个开放的重定向跳转漏洞,并在调试功能的帮助下,提权了远程代码执行漏洞(RCE)。
已有 964 人围观
- 漏洞复现分析之通达OA
- https://www.023niu.com 2020-08-20 11:19:08
- 目标文件用于确定用户是否登录。如果没有登录,则无法上传。因此,删除此文件可以成功上传webshell。
已有 383 人围观
- AuthMatrix:BurpSuite工具,用于Web应用程序和服务的身份验证和安全性测试
- https://www.023niu.com 2020-08-04 13:20:04
- AuthMatrix是Burp Suite工具的插件,可以帮助研究人员对Web应用程序和Web服务的身份验证机制进行安全测试。借助AuthMatrix,测试人员可以专注于特定应用程序的用户表,权限,角色和请求
已有 782 人围观
- Android APP静态分析存储不安全和密码的硬编码泄漏,导致登录短信管理系统并劫持短信接口配置
- https://www.023niu.com 2020-03-14 00:41:36
- Android APP静态分析存储不安全和密码的硬编码泄漏,导致登录短信管理系统并劫持短信接口配置。
已有 820 人围观
- 执行分段免杀,使用Xor加密具有不同密钥的弹出cmd程序
- https://www.023niu.com 2020-03-13 17:07:33
- 编写shellcode时,如何在执行时进行解码,然后调用并解码,然后在解码后执行? 分阶段执行,并且解密密钥不同。
已有 438 人围观
- 登录、注册、账号、密码、验证码等表单渗透经验介绍
- https://www.023niu.com 2020-03-06 16:56:41
- 在甲方授权的渗透测试中,经常会遇到各种形式表单:登录,注册,帐户,密码,验证码和其他形式。本文着重介绍各种表单形式的渗透经验。
已有 679 人围观
- Pikachu靶场复现钓鱼攻击之Basic认证后数据无法发送到后台,PHP的HTTP身份验证机制仅在PHP作为Apache模块运行时有效
- https://www.023niu.com 2020-02-27 15:56:33
- Pikachu靶场复现钓鱼攻击之Basic认证后数据无法发送到后台,重复弹出认证提示框原因分析及解决方法,PHP的HTTP身份验证机制仅在PHP作为Apache模块运行时有效。
已有 929 人围观
- 使用CentOS8和NGINX尝试ModSecurity启动Web应用程序WAF
- https://www.023niu.com 2020-02-22 14:02:16
- 尝试使用ModSecurity启动Web应用程序并在测试环境中运行。 测试环境由NGINX CentOS8设备组成,结果比预期的要难得多。
已有 364 人围观
- 网站或软件系统上线前对注册功能的安全测试
- https://www.023niu.com 2020-02-21 13:51:54
- 应用程序系统都有一个注册模块。非法用户则通过注册模块来达到难以言喻的目的,通过注册模块与服务器进行交互(用户输入不可信),因此在系统联机之前,必须在注册模块上执行测试。
已有 290 人围观
- 从WEB安全的角度介绍hihttps如何通过机器学习自动生成对抗规则的5个过程
- https://www.023niu.com 2020-02-18 14:37:04
- hihttps是一个免费的Web应用程序防火墙,支持无监督机器学习,自主对抗,重新定义Web安全性。从WEB安全的角度介绍hihttps如何通过机器学习自动生成对抗规则的5个过程。
已有 361 人围观
延伸阅读:
- 对Electron架构应用程序进行白盒安全测试,通过开放重定向跳转漏洞,提权到远程代码执行漏洞(RCE)。
- 漏洞复现分析之通达OA
- AuthMatrix:BurpSuite工具,用于Web应用程序和服务的身份验证和安全性测试
- Android APP静态分析存储不安全和密码的硬编码泄漏,导致登录短信管理系统并劫持短信接口配置
- 执行分段免杀,使用Xor加密具有不同密钥的弹出cmd程序
- 登录、注册、账号、密码、验证码等表单渗透经验介绍
- Pikachu靶场复现钓鱼攻击之Basic认证后数据无法发送到后台,PHP的HTTP身份验证机制仅在PHP作为Apache模块运行时有效
- 使用CentOS8和NGINX尝试ModSecurity启动Web应用程序WAF
- 网站或软件系统上线前对注册功能的安全测试
- 从WEB安全的角度介绍hihttps如何通过机器学习自动生成对抗规则的5个过程
漏洞复现分析之通达OA
https://www.023niu.com: 目标文件用于确定用户是否登录。如果没有登录,则无法上传。因此,删除此文件可以成功上传webshell。
2020-08-20 11:19:08 )383( 亮了
Android APP静态分析存储不安全和密码的硬编码泄漏,导致登录短信管理系统并劫持短信接口配置
https://www.023niu.com: Android APP静态分析存储不安全和密码的硬编码泄漏,导致登录短信管理系统并劫持短信接口配置。
2020-03-14 00:41:36 )820( 亮了
执行分段免杀,使用Xor加密具有不同密钥的弹出cmd程序
https://www.023niu.com: 编写shellcode时,如何在执行时进行解码,然后调用并解码,然后在解码后执行? 分阶段执行,并且解密密钥不同。
2020-03-13 17:07:33 )438( 亮了
登录、注册、账号、密码、验证码等表单渗透经验介绍
https://www.023niu.com: 在甲方授权的渗透测试中,经常会遇到各种形式表单:登录,注册,帐户,密码,验证码和其他形式。本文着重介绍各种表单形式的渗透经验。
2020-03-06 16:56:41 )679( 亮了
Pikachu靶场复现钓鱼攻击之Basic认证后数据无法发送到后台,PHP的HTTP身份验证机制仅在PHP作为Apache模块运行时有效
https://www.023niu.com: Pikachu靶场复现钓鱼攻击之Basic认证后数据无法发送到后台,重复弹出认证提示框原因分析及解决方法,PHP的HTTP身份验证机制仅在PHP作为Apache模块运行时有效。
2020-02-27 15:56:33 )929( 亮了
使用CentOS8和NGINX尝试ModSecurity启动Web应用程序WAF
https://www.023niu.com: 尝试使用ModSecurity启动Web应用程序并在测试环境中运行。 测试环境由NGINX CentOS8设备组成,结果比预期的要难得多。
2020-02-22 14:02:16 )364( 亮了
网站或软件系统上线前对注册功能的安全测试
https://www.023niu.com: 应用程序系统都有一个注册模块。非法用户则通过注册模块来达到难以言喻的目的,通过注册模块与服务器进行交互(用户输入不可信),因此在系统联机之前,必须在注册模块上执行测试。
2020-02-21 13:51:54 )290( 亮了
从WEB安全的角度介绍hihttps如何通过机器学习自动生成对抗规则的5个过程
https://www.023niu.com: hihttps是一个免费的Web应用程序防火墙,支持无监督机器学习,自主对抗,重新定义Web安全性。从WEB安全的角度介绍hihttps如何通过机器学习自动生成对抗规则的5个过程。
2020-02-18 14:37:04 )361( 亮了
减少企业遭受Windows设备网络上的凭据转储攻击漏洞的五个技巧
https://www.023niu.com: 凭据转储是攻击者获得永久网站访问权的一项重要技术。通过网络钓鱼潜入网站后,利用管理员管理和监视网络以获得公共凭据。谈谈减少Windows设备网络上企业凭据转储攻击漏洞的五个技巧。
2020-02-18 14:18:15 )163( 亮了
GetShell思路之phpMyadmin:基于PHP的MySQL数据库管理工具,使网站管理员可以通过Web界面管理数据库。
https://www.023niu.com: 基于PHP的MySQL数据库管理工具,使网站管理员可以通过Web界面管理数据库。本部分主要收集网站的物理路径,否则将无法通过URL连接Shell。
2020-02-10 14:17:10 )569( 亮了
开源安全模块modsecurity测试攻击有效载荷加密,WebShell流量检测的WAF性能分析
https://www.023niu.com: 首先,在本地快速重现对手的环境,其次,配置多种加密组合以形成攻击有效载荷,第三,使用开源安全模块modsecurity在加密后测试攻击有效载荷的效果。
2020-02-08 10:06:01 )942( 亮了
WAF防御及WAF的上传绕过手段
https://www.023niu.com: WAF(Web Application Firewall)只是一种产品,它实现了一系列HTTP HTTPS安全策略以为Web应用程序提供保护。 上传绕过不算什么技术了,正所谓未知防,焉知攻。
2020-02-06 11:02:09 )477( 亮了
开源WAF:Web应用防护系统,信息安全技术,以成品文档为例测试评估开源WAF,可有效阻断大部分黑客攻击,对0day有着一定的防御作用
https://www.023niu.com: 开源WAF:Web应用防护系统,信息安全技术,以成品文档为例测试评估开源WAF,可有效阻断大部分黑客攻击,对0day有着一定的防御作用。
2020-01-31 11:55:54 )856( 亮了
自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数
https://www.023niu.com: 自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数
2020-01-30 14:04:47 )6288( 亮了
谷歌翻译服务(Google Translator)越翻英界面中存在的跨站漏洞(XSS):针对HTML标签功能未做完善的过滤和编码规则
https://www.023niu.com: 谷歌翻译服务(Google Translator)越翻英界面中存在的跨站漏洞(XSS):针对HTML标签功能未做完善的过滤和编码规则。
2020-01-28 12:07:19 )563( 亮了