- 博客(10)
- 资源 (90)
- 收藏
- 关注
原创 vmware虚拟机无法上网的几点解决方案
0x00 前言主机上网,主要有两种:一拨号上网,包括家庭ADSL拨号上网、小区宽带拨号上网、无线网卡拨号上网,或者单位家属院专用拨号上网等。;非拨号上网(主机不需要拨号即可以上网),包括单位直接上网、家庭通过路由器共享上网、wifi 上网等。对于主机能够上网,但是虚拟机不能上网的原因有很多种。0x01 网络连接1 桥接模式 这种模式相当于虚拟机为同一个局
2016-09-25 23:08:47 3556
原创 常见的压力测试方式总结
hping3 -S --flood -V 1.1.1.2hping3 -S -U --flood -V --rand-source 1.1.1.2
2016-09-24 21:38:40 13351
原创 Android平台渗透测试套件--zANTI2.5
0x00 前言 zANTI是一款Android平台下的渗透测试工具,支持嗅探已连接的网络、支持中间人攻击测试、端口扫描、Cookie获取及路由安全测试等操作。该工具是由以色列移动安全公司Zimperium开发的。此外,它能够支持一系列的网络任务:MAC变更、zther(对欺骗的手机端实现了记录请求、记录图像、zpacketEditor、SSL strip、重新导向HTTP、替...
2016-09-24 15:36:17 6123 4
原创 android应用APP常见安全问题
0x00前言 我们都知道在当下互联网时代,手机移动端的普及已经是非常普遍的事情了,同时APP风险漏洞也逐渐暴露出来。所谓的风险漏洞一般来说是应用代码编写过程中出现的安全漏洞、编码隐患、甚至业务逻辑上的缺陷。APP风险漏洞往往带来很多危害,诸如成应用内信息泄露、远程代码执行、本地拒绝服务等多种安全问题,严重的可能影响应用正常运行,更为严重的是导致手机系统的权限沦陷,手机被控制...
2016-09-22 23:18:55 8337 2
原创 android 渗透测试必备工具
0x00 前言 伴随着移动互联网的高速发展,手机端走进普通大众的日常生活,这里我们将基于android系统介绍一些基本android渗透测试必备的使用工具。这些工具更多的是安装在android客户端。至于PC端,在后面会陆续介绍。这里建议先把手机root了,获得root权限。至于怎样root,每个品牌每个型号的手机各不同,可以自行百度或者参考你手机的官网。0x01 系统管理
2016-09-16 09:09:34 12372
原创 使用burpsuit捕获手机流量
0x00 前言 我们都知道在电脑端,浏览器设置设置本地代理(127.0.0.1:8111)这种方式,burpsuite可以捕获到所有HTTP的流量,这种方式很方便我们对网站进行渗透测试。其中进行爬取网站目录结构和进行主动扫描发现漏洞,以及改动数据包进行重放攻击等等安全测试。而本文的重点是教会大家如何捕获手机端的流量,尤其是手机端的HTTP流量,这对于我们分析手机端的各种应用程...
2016-09-15 08:21:43 17846 6
原创 MySQL远程代码执行(CVE-2016-6662)漏洞预警
一、漏洞基本信息CVE编号:CVE-2016-6662漏洞名称:MySQL远程代码执行漏洞发布日期:2016.09.12受影响的软件及系统:MySQL 漏洞概述:这个漏洞影响(5.7, 5.6, 和 5.5版本)的所有Mysql默认配置,包括最新的版本,攻击者可以远程和本地利用该漏洞。该漏洞需要认证访问MYSQL数据库(通过网络连接或者像phpMyAdmin的web接口),以及
2016-09-13 20:50:50 5942
原创 绕过cdn获取网站的真实ip
0x00 前言 现在很多大网站基本上都使用了CDN进行加速,方便快速响应用户的请求,提高用户体验。这种做法对于我们日常的渗透测试来说,CDN的虚假IP确实很干扰我们的测试。因此很有必要写一下,如何绕过CDN,找到网站的真实IP。0x01 要看一个网站是否开启CDN,方法很简单,只要在不同的地区ping网址就可以,比如在山东济南ping得到的IP地址是111
2016-09-07 22:15:35 35786 1
原创 web中各种命令注入的检测和利用一
0x00 前言 我们都知道在web 中有着各种数据注入攻击,其中有SQL注入、命令注入、XML注入等等。在平时我们渗透测试的任务中,如何快速检测和利用这些注入的漏洞,以下是一些注入命令总结0x01 SQL 注入1.1 通用的 SQL 注入攻击字符查询中断语法 : 单引号(‘), 双引号(“)注入SQL注释 :
2016-09-03 10:10:45 8867
原创 web中各种命令注入的检测和利用二
0x00 前言 我们都知道在web 中有着各种数据注入攻击,其中有SQL注入、命令注入、XML注入等等。在平时我们渗透测试的任务中,如何快速检测和利用这些注入的漏洞,以下是一些注入命令总结0x01 SQL 注入1 SQL注入的发现1.1 通用的 SQL 注入攻击字符查询中断语法 : 单引号(‘), 双引号(“)注入SQL注
2016-09-02 22:53:23 12668 1
hashcat-gui-0.5.1.7z
2020-08-19
xray_run_with_burp.zip
2020-08-19
AppScan10.0安装使用手册2020版.pdf
2020-08-07
NIST.SP.800-190容器安全指南.pdf
2019-10-18
微软网站IIS中的IP白名单黑名单实践
2018-11-30
HTTP拒绝服务整改方案
2018-11-30
sqlmap用户手册
2018-11-30
ISO/IEC_27002:2013信息安全控制实用规则.pdf
2018-04-03
ISO_IEC 27001_2013_Chinese_English_version v1.3.pdf
2018-04-03
OWASP Zed2.7使用文档
2018-01-07
OWASP Mobile Top 10 -2016
2016-10-04
android渗透测试工具drozer的使用文档
2016-10-04
商用密码产品认证业务指南(第一版:带目录标签)
2020-12-17
附件1:商用密码产品认证目录(第一批).pdf
2020-12-17
xray run with burpsuite
2020-12-08
Electron 安全检查清单.docx
2020-09-28
PC客户端(cs架构)渗透测试
2020-06-19
Web Service 渗透测试.docx
2020-06-19
永安在线-业务安全蓝军测评标准v2020.3.4(带标签)
2020-06-09
X-Frame-Options未配置漏洞修复参考v1.0.docx
2020-06-03
数据安全构建思维导图.xmind
2020-03-03
OWASP软件保证成熟度模型v1.0-中文(带标签目录).pdf
2020-02-22
CMMI(能力成熟度模型集成)V2.0.docx
2020-02-22
bsimm10-cn.pdf
2020-02-22
网上银行系统信息安全通用规范-2020(带书签目录).pdf
2020-02-22
bsimm10-框架-记分卡-119项活动.xlsx
2019-11-29
bsimm10-cn.docx(官方)
2019-11-29
区块链安全Top 10 2019.pdf
2019-10-28
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人