从java开发转型到安全渗透测试的过程
我们学校有一个工作组,经常接收外包公司的项目。之前收到一个比较大的Java项目。一开始很有意思。一群人讨论了用什么架构,用什么数据库,用什么缓存。然后,我在找资料,在查github的框架。在...
admin
渗透测试中对某RCE漏洞的反解密与渗透
在不久前的渗透测试行动中,有一个红队可用的漏洞列表,其中有一个关于某个堡垒和基机的有趣的RCE漏洞,最近碰巧是免费的,想审计这个漏洞。要说这个漏洞其实是个古洞,CNVDNo。CNVD-2020...
渗透测试工程师都需要学习些什么?
这篇文章面向入门的同学,更偏向于学习的方法,而非渗透的技巧,请看准需求再往下读。我是SINESAFE网站安全公司的技术,水平有限,所以自然亲民,和很多渗透测试新手都很熟。他们中的大多数都是大学生,还有...
网站渗透服务中挖掘的高危漏洞有哪些?
2021年元旦初接到许多网友的留言,想要了解网站漏洞利用的高危方式都有哪些,其实最致命的漏洞就是执行任意命令导致可以拿下最高权限,但仅限于讨论,如果在渗透测试客户站点的时候,前提要得到正规...
对Semcms的代码渗透测试 挖掘SQL注入漏洞
这篇文章是前一段时间做的渗透测试。这一次,整篇文章利用当前的服务器环境进行再现。如果有不合理的地方,可能是在做局部复制的过程中没有完全恢复真实环境,主要是记录当时做这个渗透测试的思路和被踩的坑。常规找...
对某厂商的登录功能的渗透测试 验证码漏洞
这是对某SRC制造商某业务的登录页面的测试,文章的相关漏洞现在正在修复。提取其中思想的精髓,与大家分享。开始登录框,一般情况下,我会马上打admin/123456。假如提示信息帐户不...
白盒安全测试系统的架构都有哪些?
我们内部在用的自研白盒系统(apollo)拓扑图,目前第三方方面支持三种方法接入分布式白盒系统。第一种方法是直接登陆web平台进行日常任务提交操作,第二种是通过marthakinspipl...
渗透测试过程对代码审计的一些常见问题
代码审计是由具有多年实战渗透测试经验的安全人员,对系统源代码和软件体系结构的安全性、可靠性进行全面审核。它是防御性编程的一个例子,试图在软件发布前减少错误。C、C++和php源代码是最常见的审计代码,...
SDK的安全服务内容 从白盒到黑盒的渗透测试过程
在各系统正常运行期间,我们需要利用各种安全入侵防护产品(自我研究or采购),如IDS、WAF、RASP等进行深度系统检查,利用风控控制和法务部门的力量,追踪和安全应急响应发生的风险事件。为什么这里说的...
APP安全设置防止被黑客攻击
在当今数字时代,移动应用的数量呈爆炸性增长,涵盖金融、电子商务、社区、医疗、房地产、工业等各行各业。在给人类带来便利的同时,也给黑客带来了可乘之机,移动黑产也越来越强大,他们的重点是从传统的PC网站转...