网络安全知识
文章平均质量分 92
普通网友
这个作者很懒,什么都没留下…
展开
-
打靶日记-Hackademic.RTB1
拿到关键信息key.txt。转载 2023-11-17 11:37:05 · 49 阅读 · 0 评论 -
【Web实战】记一次攻防实战绕过登录机制进入后台获取大量敏感数据
某省攻防实战。通过多层绕过。成功不要密码拿下一个后台。包括各个学校账号密码,等相关敏感信息。为后续打下坚实基础。转载 2023-11-15 16:11:08 · 1642 阅读 · 0 评论 -
WEB漏洞 逻辑越权之支付数据篡改安全
5)倘若不知道获取到的id值有何用处,我们可以在主页查看源码可以看到每一张图片都代表着不同的地址,所以我们的入手点从id处下手。4)在管理员的请求A中替换PHPSESSID值为普通用户的PHPSESSID,成功添加用户。测试方法:看低权限用户是否能越权使用高权限用户的功能,比如普通用户可以使用管理员的功能。4.刷新页面,再pikachu这个普通账户中,以它的权限创建好了一个新的用户xxx。4)通过抓包放包,可以看到很多有用的信息,而id值是每个账户的所必须的存在。创建用户的同时进行抓包。转载 2023-11-14 17:20:27 · 56 阅读 · 0 评论 -
高级红队之驱动通信隐藏技术
上一章简单说了驱动在无签名时如何进行加载,但我们加载后还需要与三环建立通信。如果我们使用IO进行通信,在使用mapper加载后会蓝屏且很容易被发现。劫持通信.data ptr技术。转载 2023-11-14 11:42:04 · 417 阅读 · 0 评论 -
打造微信”盾”,轻松终结微信钓鱼
通过从防守视角的手法的解读和分析,针对木马程序最终的落地施行进行反制,即可以轻松做到终结微信钓鱼的攻击。操作系统自带的软件限制策略(Software Restriction Policy)是一种基于Windows操作系统的安全功能,它旨在限制哪些程序可以在计算机上运行。通过配置这个策略,管理员可以指定微信文件存储路径,和限定文件扩展名,就可以轻松阻止未经授权的软件、恶意软件和病毒等运行在系统上。转载 2023-11-13 16:29:05 · 200 阅读 · 0 评论 -
史上最全信息收集【非常详细 推荐收藏学习】
渗透的本质是信息收集,信息收集也叫做资产收集。信息收集是渗透测试的前期主要工作,是非常重要的环节,收集足够多的信息才能方便接下来的测试,信息收集主要是收集网站的域名信息、子域名信息、目标网站信息、目标网站真实IP、敏感/目录文件、开放端口和中间件信息等等。通过各种渠道和手段尽可能收集到多的关于这个站点的信息,有助于我们更多的去找到渗透点,突破口。转载 2023-10-28 11:00:00 · 692 阅读 · 0 评论 -
10 本最值得阅读的网络安全书籍推荐
Michal Zalewski是国际公认的信息安全专家,他在本书中探讨了保护现代 Web 应用程序的挑战,并提供了支持 Web 应用程序安全性的关键信息。本书提供了坚实的密码学基础,并包含 C 代码示例,如果你花时间认真地阅读它,独立研究书中的每个概念,那么你很快就可以更深入地了解密码学的工作原理。任何涉及网络安全领域的人都会从中收获实用建议。本书提供了对黑客和社会工程学世界的深入了解,并提供了有关如何防御这些类型的攻击的宝贵见解。本书为网络安全奠定了坚实的基础,涵盖了广泛的主题,对初学者和专家都很有用。原创 2023-10-25 16:13:14 · 272 阅读 · 0 评论 -
网络安全人员必考的几本证书
国际级证书,安全行业就业的必备证书,NISP被称为校园版的CISP,当NISP2级通过后,满足条件直接可以换购CISP证书,不用再重新考,对于在校生是绝佳选择.可作为面试,就业的加分项.在校学生拥有此证课抵扣学分,分值各学校不同.含金量次之的CISP——国家注册信息安全专业人员,包含CISE(工程师)、CISO(管理)、CISA(外审)三个不同的方向。公认比较难考的一个证书,覆盖面广,知识点很多,如果没有相关安全的工作经验,上来就直接复习,是会很崩溃的。但这个认证也是大家公认比较难考的证书.原创 2023-10-13 18:19:18 · 114 阅读 · 0 评论