在渗透过程中浏览器攻击的一些手法介绍
这一阶段,就是利用对浏览器的控制,根据当前形势,探寻攻击的可能性。这种攻击有多种形式,包括对浏览器的“本地”攻击,对浏览器所在操作系统的攻击,以及对任意位置远程系统的...
admin
白盒安全检测系统的引擎开发 大体介绍
在白盒检测方面,我们主要基于两个自主开发的白盒引擎进行检测,一个是基于代码属性图(cpg),内部称为阿波罗,另一个是基于字节码点,内部称为冥王哈迪斯。关于冥王哈迪斯,试用版以...
渗透测试过程对代码审计的一些常见问题
代码审计是由具有多年实战渗透测试经验的安全人员,对系统源代码和软件体系结构的安全性、可靠性进行全面审核。它是防御性编程的一个例子,试图在软件发布前减少错误。C、C++和php源代码是最常见的审计代码,...
对某CMS的黑盒渗透测试 挖掘漏洞分析
虽然我们经历过以上的失败,可是现在对CMS的架构已经很熟悉了,应当有助于进一步的渗透。刚才看到最后一条拼接的SQL语句,发现了一个languageID参数。跟踪看这个参数是否可控。根据回溯,我们可以看...
白盒源代码安全审计的系统构建以及算法
源码安全性检测是安全性开发过程(SDL)的重要构成部分,在SINE安全的CI/CD过程中,源码安全性检测每天都有数千个量级的构建和发布,因此,白盒检测的自动化能力至关重要。企业白盒代码审计系统不仅要面...
APP应用渗透测试技术种类与定义
APP渗透测试技术,许多APP应用程序在开发过程中,由于对安全问题的疏忽,人员安全意识不成熟、漏洞攻击技术不断发展、资源和时间限制等其他因素,应用程序安全漏洞普遍存在。为了确保应用程序的安全性,有必要...
java代码审计 对垂直越权漏洞的人工检测
以前诸位看到过大牛的php代码审计,但是后来由于技术需要学了Java的代码审计,刚来时实战演练检测自个的技术成果,实际上代码审计我觉得不单单是取决于源代码方面的检测,包含你去构建布署下去和去...
黑盒测试中一次反序列化漏洞挖掘
取得1个压缩文件,里边有一个客户端软件但压根不能运转,怕被反打被钓鱼,因此仅仅翻了翻程序执行设置和系统日志,设置中寻找1组账户密码,有数据加密可是估算问题不大,假如账户密码准确立即运转应该...
物联网设备的渗透测试过程
2021年7月中期,春兰杯公布公开今年的赛事题型,小编也有辛参加了今年的春兰杯赛事。依照PwnMonkey&DC0086微信公众号的技术方位,咱们准备来聊一聊当中有关nbiot机...
对Cachet开源代码的一次安全审计
个了无生趣的星期日夜里,我还在知乎app游逛,发觉有个匿名用户接连向我提起了2个疑问:原本并不是特想回应这两个疑问,一个是觉得较为根基,二是目前大多数人都卷java代码去了,关心PHP的...