密码找回逻辑漏洞小总结—安全小课堂第三十五期

密码找回功能出现逻辑漏洞,利用漏洞修改他人帐号密码。比如重置了管理权限的账户密码,可能导致修改页面,上传shell,服务器被黑掉,可能使得订单与收货地址信息泄露,涉及用户隐私、账户被盗刷等。 本期,我…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:35
  • 阅读 ( 703 )

php一句话后门过狗姿势万千之后门构造与隐藏【一】

先知技术社区独家发表本文,如需要转载,请先联系先知技术社区授权;未经授权请勿转载。 写在前面: 过狗相关的资料网上也是有很多,所以在我接下来的文章中,可能观点或者举例可能会与网上部分雷同,或者表述不够…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:35
  • 阅读 ( 829 )

php一句话后门过狗姿势万千之传输层加工【二】

先知技术社区独家发表本文,如需要转载,请先联系先知技术社区授权;未经授权请勿转载。 上一篇:【独家】php一句话后门过狗姿势万千之后门构造与隐藏【一】 既然木马已就绪,那么想要利用木马,必然有一个数据…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:35
  • 阅读 ( 781 )

域渗透之使用CrackMapExec拿到我们想要的东西(一)

前言 这是一系列的介绍CrackMapExec的很多功能的文章。下面是对CrackMapExec这个工具的一个概况性的介绍。 它是一个后渗透工具,像Veil-Pillage, smbexec一样 它是…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:35
  • 阅读 ( 761 )

域渗透之使用CrackMapExec拿到我们想要的东西(二)

前言 在第一部分我们讲过的基础知识: 使用凭证 dump凭据 执行命令 使用payload模块 在第二部分我们将介绍CME的内部数据库以及如何使用 metasploit和 Empire来拿到shell…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:35
  • 阅读 ( 804 )

我的WafBypass之道(upload篇)

0x00 前言 玩waf当然也要讲究循序渐进,姊妹篇就写文件上传好了,感觉也就SQLi和Xss的WafBypass最体现发散性思维的,而文件上传、免杀、权限提升这几点的Bypass更需要的是实战的经验…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:35
  • 阅读 ( 775 )

共赴年末安全技术盛宴,京东安全峰会暨2016白帽子颁奖典礼日程全曝光!

2016年12月16日,京东安全峰会暨2016白帽子颁奖典礼将在北京中奥马哥孛罗大酒店召开。京东、腾讯、360等安全专家悉数亮相。 将围绕:如何进行网络安全漏洞挖掘展开深度分享。京东安全在年末倾力打造…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:35
  • 阅读 ( 822 )

2016 HCTF Crypto 出题总结

Author:Hcamael date: 2016-11-28 20:26:26 注:更多 HCTF 题目可以在此找到:https://github.com/hduisa/HCTF2016 今年犯懒了…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:35
  • 阅读 ( 805 )

交易支付逻辑漏洞小总结—安全小课堂第三十六期

支付漏洞的理解通常都是篡改价格。比如,一分钱买任何东西。少收款、企业收费产品被免费使用,直接造成企业的经济损失。本期我们来聊一聊交易支付逻辑漏洞。 本期我们邀请到 JSRC资深白帽子种田、紫霞仙子╰(…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:35
  • 阅读 ( 731 )

渗透测试神器Burp Suite v1.7.11破解版下载

本文提供的破解方式仅供软件试用,请于24小时内删除 安全脉搏之前发布过 《渗透测试神器Burp Suite v1.6.12破解版下载》 《知名渗透测试套件BurpSuite Pro v1.6.09破解…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:35
  • 阅读 ( 727 )

安天移动安全应对“DressCode”威胁,发布企业移动威胁检查工具

近日,一种名为“DressCode”的恶意代码引起了国内安全行业的关注,该恶意代码以企业员工的移动设备作为跳板对企业内网进行攻击,对企业安全造成严重威胁。安天移动安全公司威胁情报团队对该恶意代码进行了…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:35
  • 阅读 ( 782 )

某云pc客户端命令执行挖掘过程

本文转自脉搏战略合作伙伴先知技术社区 原帖地址  原作者: forever80s 安全脉搏编辑Joey整理发布 (1)、引言 最近测试是国内某知名云服务器供应商,本豪研究一天云客户端找了个命令执行,所…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:34
  • 阅读 ( 801 )

对P2PAPP的逆向分析

本文由米斯特安全攻防实验室原创投稿安全脉搏,安全脉搏独家发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 本文作者对P2PAPP进行了逆向分析,描述了恶意程序P2PAPP的一些可疑行为及…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:34
  • 阅读 ( 771 )

资生堂被黑泄露四十二万用户数据,也许你也是其中之一

近日,日本化妆品行业巨头SHISEIDO(资生堂)被黑客入侵,泄露420,000位顾客数据,其中还包括顾客的金融信息。 资生堂简介 SHISEIDO资生堂是创立于1872年的高端化妆品品牌,一直致力于…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:34
  • 阅读 ( 785 )

某记账App iOS客户端内购破解

本文转自脉搏战略合作伙伴先知技术社区 原帖地址  原作者: 墨眉_凌迟  安全脉搏编辑Joey整理发布 注:本次操作环境为-越狱iPhone 4s,ios8.3,app版本为1.6.6 由于厂商要求隐…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:34
  • 阅读 ( 819 )

凌晨网络科技两款新品重磅发布,帮助企业以最高效的方式解决安全问题

凌晨网络科技两款新品重磅发布,帮助企业以最高效的方式解决安全问题   12月12日,凌晨网络科技发布了 企业资产管理平台、安全联动处理平台、企业安全知识库——Tucana          …

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:34
  • 阅读 ( 685 )

如何突破双向证书认证防护

本文由wadcl原创投稿安全脉搏,安全脉搏独家发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。以前给一家证券机构做测试,第一次碰到了服务器双向认证的问题,当时双向认证的概念还没有推广开来…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:34
  • 阅读 ( 767 )

越权漏洞泄露你的隐私—安全小课堂第三十七期

越权漏洞正在泄露你的隐私。作为一种很常见的逻辑安全漏洞,越权漏洞的危害和影响与对应业务的重要性成正相关。如果存在平行越权的话,就可以查看所有用户的敏感信息,而这些敏感信息在黑产眼中简直就是珍宝。 本期…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:34
  • 阅读 ( 759 )

美丽联合集团安全应急响应中心(MLSRC)正式上线

2016年12月21日,美丽联合集团安全应急响应中心(MLSRC)正式上线(以下简称美联SRC) 美联SRC的建立,旨在联合安全领域的个人以及团队共同发现潜在的安全威胁,全方位地保障平台消费者的权益。…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:34
  • 阅读 ( 828 )

智能网联汽车的发展趋势及其将引发的信息安全问题

随着车载应用功能的丰富,车载终端的智能化程度增加,呈现从功能单一系统到“硬件一体化、软件互操作”的融合趋势。 更广阔的外延带来更好的应用体验,也带了更多的攻击入口。为什么会有安全风险? 从技术角度分析…

  • 0
  • 0
  • litqq
  • 发布于 2020-12-07 15:34
  • 阅读 ( 810 )