我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧
- CSRF攻击:WEB攻击形态的存在
- https://www.023niu.com 2020-01-15 09:05:36
- 由于现代浏览器的工作机制,存在一种WEB网络攻击形式,这种攻击形式称为CSRF攻击。这次我们给出了攻击原理,同时给出了服务器端CSRF防御的解决方案。
已有 215 人围观
- 利用脚本查看日志,了解系统被入侵的过程
- https://www.023niu.com 2020-01-10 11:11:40
- 入侵系统后,了解系统入侵的最佳方法可能是查看日志并分析日志以恢复整个过程的来龙去脉。 因此,我想知道是否可以使用脚本来完成一些常规的故障排除过程,以帮助进行日志分析。
已有 231 人围观
- 带有WAF功能的Web应用以防止常见的如SQL注入、XSS等黑客攻击
- https://www.023niu.com 2020-01-08 10:02:38
- 本文将展示如何编写用于Express的WAF中间件,Web服务的安全性以及如何防止常见的黑客攻击,例如SQL注入,XSS
已有 267 人围观
- 渗透测试:利用前端断点拦截和JS脚本替换对前端加密数据的修改
- https://www.023niu.com 2020-01-07 09:34:42
- 本文介绍的两种方法,虽然断点调试比JS脚本代码替换更容易,但是JS脚本代码替换方法可以实现更强大的功能,测试人员可以根据实际需要选择适当的测试方法
已有 1995 人围观
- PyExfil:用于检测系统对数据泄露的抵抗力
- https://www.023niu.com 2019-12-31 09:44:19
- PyExfil项目本身是一个测试库,以python库的形式提供给用户。 该工具实现了多种数据泄漏技术,包括攻击者已经使用或正在实际攻击中使用的某些技术。
已有 264 人围观
- 新一代探测工具xssfork:安全高效的检测xss安全漏洞
- https://www.023niu.com 2019-12-27 12:38:48
- xssfork是新一代的xss漏洞检测工具,旨在帮助安全从业人员有效地检测xss安全漏洞。 该工具分为两个部分:xssfork和xssforkapi,当在网站上对xss进行fuzz xss,xssfork将调用更多payload。
已有 633 人围观
- 如何使用ADSI接口和反射型DLL枚举活动目录
- https://www.023niu.com 2019-12-08 22:20:57
- 您正在使用TIBER-EU,CBEST和其他红队安全评估框架,并最终成功地渗透到目标网络,并使用有效负载和C2通道成功绕过了目标网络的安全保护措施。我们的Active Directory枚举工具不会触发安全警报
已有 325 人围观
- 网络时代操作系统安全在计算机信息系统整体安全性中的重要作用
- https://www.023niu.com 2019-12-09 09:34:48
- 操作系统安全在计算机信息系统的整体安全中起着至关重要的作用。 没有操作系统提供的安全性,计算机业务系统的安全性就没有基础。
已有 504 人围观
- 分享有关云租户安全建设的想法
- https://www.023niu.com 2019-12-11 20:01:55
- 随着企业云化的不断深入,安全策略已成为企业云建设的关键问题。 如何使用云计算安全有效地开展自己的业务? 本文将简要分享云租户的安全构建思想:认识自己并彼此了解
已有 217 人围观
- 威胁情报的私有化生产和级联:威胁搜寻和情报共享
- https://www.023niu.com 2019-12-12 09:34:40
- 安全攻防要求已从传统的以漏洞为中心,主动,以情报为中心的构建模型逐步发展。
已有 434 人围观
延伸阅读:
- 对Electron架构应用程序进行白盒安全测试,通过开放重定向跳转漏洞,提权到远程代码执行漏洞(RCE)。
- 漏洞复现分析之通达OA
- AuthMatrix:BurpSuite工具,用于Web应用程序和服务的身份验证和安全性测试
- Android APP静态分析存储不安全和密码的硬编码泄漏,导致登录短信管理系统并劫持短信接口配置
- 执行分段免杀,使用Xor加密具有不同密钥的弹出cmd程序
- 登录、注册、账号、密码、验证码等表单渗透经验介绍
- Pikachu靶场复现钓鱼攻击之Basic认证后数据无法发送到后台,PHP的HTTP身份验证机制仅在PHP作为Apache模块运行时有效
- 使用CentOS8和NGINX尝试ModSecurity启动Web应用程序WAF
- 网站或软件系统上线前对注册功能的安全测试
- 从WEB安全的角度介绍hihttps如何通过机器学习自动生成对抗规则的5个过程
漏洞复现分析之通达OA
https://www.023niu.com: 目标文件用于确定用户是否登录。如果没有登录,则无法上传。因此,删除此文件可以成功上传webshell。
2020-08-20 11:19:08 )383( 亮了
Android APP静态分析存储不安全和密码的硬编码泄漏,导致登录短信管理系统并劫持短信接口配置
https://www.023niu.com: Android APP静态分析存储不安全和密码的硬编码泄漏,导致登录短信管理系统并劫持短信接口配置。
2020-03-14 00:41:36 )820( 亮了
执行分段免杀,使用Xor加密具有不同密钥的弹出cmd程序
https://www.023niu.com: 编写shellcode时,如何在执行时进行解码,然后调用并解码,然后在解码后执行? 分阶段执行,并且解密密钥不同。
2020-03-13 17:07:33 )438( 亮了
登录、注册、账号、密码、验证码等表单渗透经验介绍
https://www.023niu.com: 在甲方授权的渗透测试中,经常会遇到各种形式表单:登录,注册,帐户,密码,验证码和其他形式。本文着重介绍各种表单形式的渗透经验。
2020-03-06 16:56:41 )679( 亮了
Pikachu靶场复现钓鱼攻击之Basic认证后数据无法发送到后台,PHP的HTTP身份验证机制仅在PHP作为Apache模块运行时有效
https://www.023niu.com: Pikachu靶场复现钓鱼攻击之Basic认证后数据无法发送到后台,重复弹出认证提示框原因分析及解决方法,PHP的HTTP身份验证机制仅在PHP作为Apache模块运行时有效。
2020-02-27 15:56:33 )929( 亮了
使用CentOS8和NGINX尝试ModSecurity启动Web应用程序WAF
https://www.023niu.com: 尝试使用ModSecurity启动Web应用程序并在测试环境中运行。 测试环境由NGINX CentOS8设备组成,结果比预期的要难得多。
2020-02-22 14:02:16 )364( 亮了
网站或软件系统上线前对注册功能的安全测试
https://www.023niu.com: 应用程序系统都有一个注册模块。非法用户则通过注册模块来达到难以言喻的目的,通过注册模块与服务器进行交互(用户输入不可信),因此在系统联机之前,必须在注册模块上执行测试。
2020-02-21 13:51:54 )290( 亮了
从WEB安全的角度介绍hihttps如何通过机器学习自动生成对抗规则的5个过程
https://www.023niu.com: hihttps是一个免费的Web应用程序防火墙,支持无监督机器学习,自主对抗,重新定义Web安全性。从WEB安全的角度介绍hihttps如何通过机器学习自动生成对抗规则的5个过程。
2020-02-18 14:37:04 )361( 亮了
减少企业遭受Windows设备网络上的凭据转储攻击漏洞的五个技巧
https://www.023niu.com: 凭据转储是攻击者获得永久网站访问权的一项重要技术。通过网络钓鱼潜入网站后,利用管理员管理和监视网络以获得公共凭据。谈谈减少Windows设备网络上企业凭据转储攻击漏洞的五个技巧。
2020-02-18 14:18:15 )163( 亮了
GetShell思路之phpMyadmin:基于PHP的MySQL数据库管理工具,使网站管理员可以通过Web界面管理数据库。
https://www.023niu.com: 基于PHP的MySQL数据库管理工具,使网站管理员可以通过Web界面管理数据库。本部分主要收集网站的物理路径,否则将无法通过URL连接Shell。
2020-02-10 14:17:10 )569( 亮了
开源安全模块modsecurity测试攻击有效载荷加密,WebShell流量检测的WAF性能分析
https://www.023niu.com: 首先,在本地快速重现对手的环境,其次,配置多种加密组合以形成攻击有效载荷,第三,使用开源安全模块modsecurity在加密后测试攻击有效载荷的效果。
2020-02-08 10:06:01 )942( 亮了
WAF防御及WAF的上传绕过手段
https://www.023niu.com: WAF(Web Application Firewall)只是一种产品,它实现了一系列HTTP HTTPS安全策略以为Web应用程序提供保护。 上传绕过不算什么技术了,正所谓未知防,焉知攻。
2020-02-06 11:02:09 )477( 亮了
开源WAF:Web应用防护系统,信息安全技术,以成品文档为例测试评估开源WAF,可有效阻断大部分黑客攻击,对0day有着一定的防御作用
https://www.023niu.com: 开源WAF:Web应用防护系统,信息安全技术,以成品文档为例测试评估开源WAF,可有效阻断大部分黑客攻击,对0day有着一定的防御作用。
2020-01-31 11:55:54 )856( 亮了
自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数
https://www.023niu.com: 自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数
2020-01-30 14:04:47 )6288( 亮了
谷歌翻译服务(Google Translator)越翻英界面中存在的跨站漏洞(XSS):针对HTML标签功能未做完善的过滤和编码规则
https://www.023niu.com: 谷歌翻译服务(Google Translator)越翻英界面中存在的跨站漏洞(XSS):针对HTML标签功能未做完善的过滤和编码规则。
2020-01-28 12:07:19 )563( 亮了