最新发布第43页
排序
oasys系统代码审计(ae审计系统)
简述:oasys是一个OA办公自动化系统,使用Maven进行项目管理,基于springboot框架开发的项目,mysql底层数据库,前端采用freemarker模板引擎,Bootstrap作为前端UI框架,集成了jpa、mybatis等框...
实战 | 记录一次JWT的越权渗透测试
简单介绍:在一次某行动暂停之后,某单位重新对自身的业务进行了评估,系统业务使用SSO进行登录,而这个SSO登录后的子系统访问采用JWT进行认证,因此有了这一个漏洞的发生,漏洞利用较为简单,...
跨站脚本漏洞(跨站脚本漏洞的英文缩写)
一、什么是跨站脚本漏洞?从用户控制的输入到输出之前,软件没有对其进行过滤或没有正确过滤,这些输出用作向其他用户提供服务的网页。二、跨站脚本(XSS)漏洞通常在哪些情况下发生?1、不可信数据...
反击CobaltStrike(一) 以假乱真
0x00 背景CobaltStrike(简称CS)作为一款渗透测试神器,采用C/S架构,可进行分布式团队协作。CS集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Windows exe与dll 木马生、Java ...
高级持续渗透-第五季关于后门
本文作者:Micropoor本文属于安全脉搏专栏作者分享暨金币奖励计划转载请参考:https://www.secpulse.com/archives/61458.html这一季依然是一个过渡季,根据之前的连载中,了解到后门是渗透测试...
搭建风控系统道路上踩过的坑 (1)- 信息采集
作者前言从业近10年,大大小小参与了3家公司不同领域的风控系统的设计,从前到后把风控系统所有环节都细细的琢磨过,然而至今仍然感觉刚刚一只脚踏进门而已。大多数人做的产品都是目的明确的,...
安全协议——Internet安全协议(Internet Protocol Security,IPSec)工作原理
IPSec的使用是建立在安全关联的基础上的,所以在讲IPSec之前要先了解一下安全关联,然后再详细讲述IPSec的工作过程。一、安全关联安全关联的定义:为了实现数据发送者至接收者的安全传输,需要...
SaaS应用选型,必须考虑的10个安全问题(saas的典型应用有哪些)
SaaS模式下,企业用户无需维护系统,只需登录就可以享受系统功能带来的便利。但是SaaS服务和数据部署在云端而不是本地机房,可能存在不可控问题。企业用户最关注的是自己的数据能不能得到有效的...
域名资产收集整理实践篇(域名收集工具)
本文是信安之路 wiki 平台第 68 篇文章之前一位学员分享了一个关于自动化挖洞的方法论《我的渗透测试方法论》完整讲述了如何从一个域名开始到最终的漏洞扫描,但是对于初学...
记一次曲折而又有趣的渗透
前言为什么要叫曲折而又有趣的渗透呢 ? 因为为了拿下这个目标兜兜转转了好几次 , 也踩了几个坑 , 想到的思路一个接着一个被堵死 , 几次都差点想放弃不搞了 , 而陪我提权的小伙伴 ( r4v3n&n...