Aimerl0 Aimerl0
3年前
网络渗透测试实验三
写在前面实验终于开始有意思起来了,Attack!网络渗透测试实验三:XSS和SQL注入实验目的了解什么是XSS了解XSS攻击实施,理解防御XSS攻击的方法了解SQL注入的基本原理掌握PHP脚本访问MySQL数据库的基本方法掌握程序设计中避免出现SQL注入漏洞的基本方法掌握网站配置。系统环境KaliLinux2、Wi
Stella981 Stella981
3年前
JWT攻击手册:如何入侵你的Token
JSONWebToken(JWT)对于渗透测试人员而言,可能是一个非常吸引人的攻击途径。因为它不仅可以让你伪造任意用户获得无限的访问权限,而且还可能进一步发现更多的安全漏洞,如信息泄露,越权访问,SQLi,XSS,SSRF,RCE,LFI等。首先我们需要识别应用程序正在使用JWT,最简单的方法是在代理工具的历史记录中搜索JWT正则表达式:
李志宽 李志宽
3年前
只有网安人才知道的事情!
大家好,我是周杰伦。知乎上有一个问题:这里有一个回答,我觉得写得挺不错,分享给大家。1、有一种看起来像天方夜谭一般的攻击方式,叫做旁路攻击,可以不接触指定设备而入侵设备,包括但不限于:获取电子设备运算时辐射的电磁波、看电子设备闪烁的led、记录设备运算的时间等等。2、听起来越天方夜谭的旁路攻击,实现起来越困难,所以这些方法一直不主流。3、你总觉得,泄漏
Wesley13 Wesley13
3年前
RTSP拉流协议视频平台多点认证造成潜在威胁?如何破解?
上一篇我们讲了TSINGSEE青犀视频平台EasyNVR内登陆鉴权的优化,通过优化登陆鉴权,我们可以抵御很多分发用户的攻击。在该问题优化完成后,我们模拟不法分子的攻击对EasyNVR的安全性进行了测试,EasyNVR已经达到了一个安全性很高的级别。!203.png(https://imgblog.csdnimg.cn/img_convert/937
微步在线 微步在线
3年前
GitLab 严重漏洞在野被广泛利用,企业需立即自查
1.前言近日,微步在线旗下微步情报局利用捕获到GitLab未授权远程命令执行漏洞(CVE202122205)在野利用,攻击成功后攻击者会植入挖矿木马进行挖矿。该漏洞无需进行身份验证即可进利用,危害极大。GitLab是GitLabInc.开发用于代码仓库管理系统的开源项目。由于GitLab广泛应用于多个企业,该漏洞影响范围较广。公众号后台回
Stella981 Stella981
3年前
CocosCreator之AssetBundle使用方案分享
前言Creator2.4推出了AssetBundle,使得所有平台都有了分包的能力。那么该如何使用这个强大的功能呢?下面介绍一下我个人的用法,仅供参考,水平有限,非喜勿喷。根据官方文档指出,之前的cc.loader需要用cc.resource替换!image.png(https://oscimg.oschina.net/oscnet/
Stella981 Stella981
3年前
DHCP snooping(DHCP监听)
DHCP监听可以防范利用DHCP发起的多种攻击行为,如DHCP中间人攻击,伪造多台设备耗尽地址池DHCP监听允许可信端口上的所有DHCP消息,但是却过滤非可信端口上的DHCP消息,DHCP监听还会在非可信端口上检查DHCP客户端消息ip dhcp snooping vlan 为一个或多个vlan启用DHCP监听ip dhcp snooping 
Wesley13 Wesley13
3年前
CQ酷Q机器人使用
之前使用卡卡网站提醒软件,发现qq提醒要收费,所以自己写一个论坛提醒工具https://cqp.cc/forum.php一款可以发送qq消息,管理群的程序配合其他插件可以更方便编程https://cqp.cc/t/15124首先使用了Python(https://www.oschina.net/action/GoToLin