某供应链后续 -测绘

已于 2024-06-07 15:50:36 修改
阅读量316 收藏 4
点赞数 5
文章标签: 安全 网络 渗透 漏洞挖掘
于 2024-06-06 17:13:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80115097/article/details/139505461
版权

前言

完结篇..

开局

开局一个目标站点www.target.cn
熟悉的产品业务,回来了 一切都回来了

一、资产聚合

核心业务资产:xxx.xxx.xxx.223
以围绕核心点223为主,以结果为导向反推测绘
数据持续探测周期:7天 开始状态为t0,结束为tn

T0状态时测绘对比分析

fofa:未收录
fofag:未收录
hunter:未收录
qax:未收录
Chaos:未检出
hunternow:维护
零零信安:未收录
Censys:未收录
tx:未收录
Quake:收录
360:收录

T1状态时测绘对比分析

fofa:未收录
fofag:未收录
hunter:未收录
qax:未收录
Chaos:未检出
hunternow:维护
零零信安:未收录
Censys:未收录
tx:未收录
Quake:未收录
360:收录

收录对比

Quake:


360:

横向对比:Quake多出指纹对比 Index of /files
360:正常子域收录
主观对比:Hunter备案小优
Censys:端口优
fofa系列:指纹优
威胁情报:数据维度优
Ex:以上数据均来自普通用户角度下对比,非氪金玩家 具体结果可能存在误差
测绘 + 威胁情报 + 漏洞情报 + 指纹 + poc + 云端 + api + web +++【应该会不错】

某中控系统比较好玩的一处地方:
目标站点:www.target.net


目标站点:www.target.net/abc

目标测产基于二维成像

其他验证demo


关于介入分析验证的思考

   声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

黑客大佬
关注
【系统架构设计师-2024上半年真题】综合知识-答案及详解
数据知道的博客
09-07 9255
以下关于软件测试说法错误的是(__)。A. 每个测试用例都必须定义预期的输出或结果 B. 测试用例中不仅要说明合法有效的输入条件,还应该描述那些不期望的、非法的输入条件 C. 软件测试可以证明被测对象的正确性 D. 80%的软件错误都可以在大概20%的模块中找到根源【答案】C多道程序设计技术不仅使CPU得到充分利用,同时改善 I/O设备和内存的(__),从而提高了整个系统的资源利用率和系统吞吐量(单位时间内处理作业(程序)的个数),最终提高了整个系统的效率。A. 可靠性 B. 利用率 C. 稳定性 D. 兼
无人机应急物资配送系统:灾害救援的创新解决方案
AI天才研究院
11-20 1176
《无人机应急物资配送系统:灾害救援的创新解决方案》 关键词:无人机、应急物资、灾害救援、路径规划、自主飞行、AI技术 摘要:本文全面探讨了无人机应急物资
供应链后续 --测绘
zkaqlaoniao的博客
06-11 365
完结篇..
2025带你看清软件供应链安全现在、未来趋势和最佳治理实践
软件供应链安全选型指南
02-21 1414
OpenSCA社区的开源项目起源于悬镜安全商业版源鉴SCA,是国内用户量最多、应用场景最广的开源SCA技术(中国信通院《中国DevOps现状调查报告2023》),通过软件码纹分析、依赖分析、特征分析、引用识别与开源许可合规分析等综合算法,深度挖掘开源供应链安全风险,智能梳理数字资产风险清单,结合SaaS云平台和实时供应链安全情报,为社区用户提供灵活弹性、精准有效、稳定易用的开源数字供应链安全解决方案。不同的开源组件带有特定的许可证要求,且涉及到海外出口,若未正确遵守,可能导致法律纠纷或商业损失。
一年四起供应链投毒事件的幕后黑手
2401_84466225的博客
11-11 1403
2017年,黑客入侵Avast服务器,在CCleaner更新中植入恶意代码,被数百万用户下载。2017年,M.E.Doc遭黑客攻击,篡改更新植入NotPetya,影响全球公司。2020年,黑客入侵SolarWinds服务器,植入恶意代码影响客户敏感信息,导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视。...以上事件,均由黑客发起的供应链攻击引发。供应链投毒攻击是指黑客利用供应链中的软件、硬件或服务等环节,通过植入恶意代码或篡改产品,从而影响最终用户的安全的一种攻击手段。
一年四起供应链投毒事件的幕后黑手_oneinstack被黑
小司机的奥拓
11-06 999
2017年,黑客入侵Avast服务器,在CCleaner更新中植入恶意代码,被数百万用户下载。2017年,M.E.Doc遭黑客攻击,篡改更新植入NotPetya,影响全球公司。2020年,黑客入侵SolarWinds服务器,植入恶意代码影响客户敏感信息,导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视。以上事件,均由黑客发起的供应链攻击引发。供应链投毒攻击是指黑客利用供应链中的软件、硬件或服务等环节,通过植入恶意代码或篡改产品,从而影响最终用户的安全的一种攻击手段。
软件供应链安全工具链研究系列—RASP自适应威胁免疫平台(下篇)
软件供应链安全选型指南
02-26 1115
在企业安全建设中,通常不会只关注核心业务服务器这一个点,在历年的攻防演练中可以发现,从供应链软件、日常办公系统,甚至食堂系统都可能是攻击队入侵的主要节点,再由此类失陷节点逐步向内渗透插旗,因为此类系统处于内网中,防护能力相对薄弱,横向渗透限制较少,所以综上来看,一些看似不重要的节点或系统,更容易被利用,所以可以通过结合RASP的告警信息,或者策略模板,将一些安全策略、防护思路推送给其他节点的WAF、或者防火墙产品,来进行一定程度的安全能力补充,将RASP的安全防护能力充分的扩散到各个区域。
中国原创SBOM格式:DSDX在软件供应链安全中的场景应用
分享软件供应链安全最新技术与最佳实践
02-24 1019
SCA技术是数字供应链开源治理的关键入口,DSDX为代表的SBOM格式将在整个供应链引入、生产、交付等关键环节的开源治理实践中发挥着重要作用。
中国原创级数字供应链SBOM格式,为何DSDX值得你的关注?
weixin_64810147的博客
03-12 919
而SBOM(Software Bill of Materials,软件物料清单)作为建立数字供应链安全基线,是数字供应链安全的核心关键部分,将在辅助安全设计评审,交叉安全测试和动态发布等环节发挥重要作用,为企业用户提供了一个明确、统一的视角,在复杂的数字供应链中实现更高的透明度和可信度,从而满足安全性和合规性的要求。作为国内数字供应链安全SBOM格式,DSDX目标是成为数字供应链安全治理与运营的核心技术抓手,以助力行业及产业从软件供应链安全向数字供应链安全过渡升级。
保障软件供应链安全《SBOM推荐实践指南》
manok的专栏
12-18 737
2023年11底,美国ODN、NSA CCC、CISA、CSCC等多个政府机构部门联合发布了《保障软件供应链安全:SBOM推荐实践指南》,《SBOM推荐实践指南》主要由ESF(Enduring Security Framework长久安全框架)小组编撰,该文件根据行业内对于SBOM的最佳实践和原则提供了非常具有建议性的指导意见,并且鼓励软件开发商和供应商共同参考,以维护和提升对软件供应链安全的认识。
国内外主流RASP厂商推荐,软件供应链安全治理防御最后一环
分享软件供应链安全最新技术与最佳实践
02-12 1252
随着应用场景的不断拓展,RASP有望在云计算、微服务、物联网等更多领域发挥重要作用,为应用程序的安全防护提供更全面的支持。
测绘软件的选择与应用】:揭秘如何挑选适合自己的测绘工具
本文首先概述了测绘软件的基本概念,随后系统地探讨了选择测绘软件的理论基础,包括功能分类、平台分类以及选择原则,如精确度、用户界面和软件兼容性。接着,文章分析了测绘软件的技术趋势和未来发展方向,重
《地形测绘项目管理手册:确保1:500至1:2000测绘任务的高效执行》
本文全面介绍地形测绘项目的概况、管理、执行策略、监控及风险管理以及案例研究。首先概述了地形测绘项目的基本内容和目标。其次,深入分析了项目管理的基础,包括理论框架、项目规划、资源管理等方面,并提供了详细...
《地形测绘软件选购指南》:针对1:500至1:2000测绘需求的全面比较
![《地形测绘软件选购指南》:针对1:500至1:2000测绘需求的全面比较]...本文综合评估了地形测绘软件的市场现状、功能特性、进阶特性以及如何针对特定需求选择合适的软件。首先,概述了地形
基于STM32、HAL库的ATECC608B安全验证及加密芯片驱动程序设计
最新发布
corlin6688的博客
04-29 139
注意:ATECC608B的I2C地址通常是0x60(7位地址)基于硬件的高安全性加密算法。ECC P-256加密引擎。真随机数生成器(TRNG)I²C接口(最高1MHz)低功耗设计,适合物联网应用。SHA-256哈希算法。16KB安全存储空间。
硬件加密+本地部署,大模型一体机如何打造AI安全护城河?
AIwenIPgeolocation的博客
04-28 380
大模型一体机的安全价值,不仅在于技术层面的创新,更在于其推动了一种“安全即服务”的生态模式。例如,埃文科技重磅推出基于华为昇腾算力DeepSeek大模型的企业一体机产品,提供DeepSeek多版本大模型一体机选择,为企业提供本地昇腾算力+DeepSeek大模型+RAG知识库的一体化解决方案。本文将从硬件安全、数据隐私、模型防护、合规保障四大维度,解析大模型一体机如何构建AI时代的“安全护城河”。数据显示,近九成企业部署的大模型服务器存在“裸奔”隐患,数据泄露、模型篡改、算力劫持等问题频发。
基于STM32、HAL库的DS2401P安全验证及加密芯片驱动程序设计
corlin6688的博客
04-28 244
1 |--DATA---------->| GPIO (配置为开漏输出)// 检测存在脉冲(设备应在60-240us内拉低总线)// 初始化DS2401P,使用GPIOB, PIN5。// 发送读取ROM命令 (0x33)// 微秒级延迟函数(需要根据系统时钟配置)// 释放总线(上拉电阻将拉高)工作温度范围:-40°C至+85°C。// 配置为开漏输出,无上拉。// 拉低总线至少480us。// 打印ROM信息。// 发送复位脉冲并检测存在脉冲。// 读取DS2401P的ROM。
Java 24 深度解析:云原生时代的性能更新与安全重构
qq_20294455的博客
04-25 1244
Java 24 不仅是一次版本迭代,更是 Java 平台在云原生、后量子安全和开发者生产力领域的战略布局。性能革命:通过内存优化和并发模型升级,满足超大规模系统需求。安全护航:抗量子加密技术为未来十年的信息安全提供保障。生态扩展:云原生特性巩固 Java 在分布式系统领域的统治地位。开发者关怀:语言改进和工具链升级降低开发门槛,提升效率。对于企业而言,Java 24 是构建下一代关键任务系统的必备平台;对于开发者,它是掌握前沿技术、提升竞争力的重要契机。
企业 AD 域安全10大风险场景解析
运维有小邓
04-28 478
Active Directory(AD)作为大多数组织的信息管理中枢,在身份验证与访问控制中发挥着至关重要的作用。这也使其成为网络犯罪分子觊觎的目标,他们不断寻找漏洞以窃取关键数据。为了有效防御AD环境遭受攻击,了解常见的攻击手段以及制定全面的防护策略至关重要。本文将带你了解十大常见AD攻击类型,并介绍如何快速检测和防护。
GPS工具箱实用教程-测绘坐标计算与平差
综上所述,"GPS工具箱-20151016" 这一文件名称暗示它是一个软件应用工具包,专门用于GPS数据的处理和分析,特别适用于需要精确坐标计算和平差处理的测绘工作。通过这类工具箱,用户能够有效地进行地理数据采集、处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值