- 博客(9)
- 资源 (1)
- 收藏
- 关注
RSS订阅转载 【红队测试 ≠ 渗透测试】
真正的黑客在攻击时是不会有范围限制的,因此,所有敌人可能涉猎的领域,都应该涵盖在红队攻击的范围内,否则组织将无法全面获取对可能风险的真实认知。尽管红队在测试中使用的攻击技术和手段方面有很多类似渗透测试,但是不同于渗透测试“尽可能多地”发现漏洞的行动目标,红队测试的核心诉求是通过使用完整的黑客攻击全生命周期技术,从初始访问到数据渗漏,再到以类似APT的隐秘方式攻击组织的人员、流程和技术,执行高度有针对性的攻击操作,从而进一步完善企业安全能力成熟度模型。在评估固有风险后,接着就需要评估控制措施的有效性。
2022-11-30 10:57:05
910
原创 日常检测经常常遇到的漏洞和防御建议
在信息安全中渗透测试方向,OWASP TOP 10 是渗透测试人员必须要深入了解和学习的,以下是渗透测试过程中经常容易出现的漏洞,进行了总结。
2022-11-10 09:10:59
321
1原创 【无标题】
*什么是渗透测试渗透测试,是一项在计算机系统上进行的授权模拟攻击,旨在对其安全性进行评估,是为了证明网络防御按照预期计划正常运行而提供的一种机制。换句话来说,渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。渗透测试目的。
2022-11-08 15:02:24
977
原创 web渗透测试检测列表
针对web的安全问题,建议通过以下相关的检查点,来进行对web系统的测试,以避免发生安全问题,下面的安全漏洞检测点可供参考。序号 检查内容描述1 收集web相关信息,开放端口信息,服务信息等2 严禁增/删/改防火墙iptables,私自开通高危端口3 检查Flash跨域策略文件crossdomain.xml是否合法4 检查是否有CSRF漏洞,根据系统条件进行检测5 信息泄露...
2019-11-06 18:05:48
516
转载 手机抓不到包,解决办法
转自Bypass ,感谢大佬分响手机抓不到包,解决办法在渗透过程中,需要对每一个参数,每一个接口,每一个业务逻辑构建测试用例,为此,抓包分析是必不可少的一个过程。在PC端,Burpsuite成为了渗透必备的神器,然而,使用Burpsuite有时候抓取不到手机的HTTPS数据。本文通过Charles解决手机抓不到包的问题及其使用过程中可能存在的一些问题。环境准备1、Windows开启Wif...
2019-10-11 09:08:14
643
原创 日常测试Web安全常见漏洞修复建议
web安全常见漏洞修复建议CSRF1)重要功能增加确认操作或重新认证,例如支付交易、修改手机号码等2)加验证码3)每个会话中使用强随机令牌(token)来保护。4)检验HTTP RefererSQL注入1)在服务器端要对所有的输入数据验证有效性。2)在处理输入之前,验证所有客户端提供的数据,包括所有的参数、URL和HTTP头的内容。3)验证输入数据的类型、长度和合法的取值范围。...
2019-08-15 19:12:01
858
原创 Android Debug Bridge 和Drozer安装使用教程
adb(Android Debug Bridge)安装使用教程下载地址:https://pan.baidu.com/s/1dFPcBvj下面就针对这些功能进行介绍,本文根据官方文档“http://adbshell.com/commands”整理而成。第一步: 下载 adb 工具包第二步: 解压下载好的工具包, 这里只讲一下 windows 的解压后的文件: 第三步,配置环境变量打...
2019-08-09 16:58:04
344
转载 电子邮箱攻防
注:md的扩展名改为rar压缩格式电子邮箱是一种用于联系沟通和保存资料的重要工具,它的广泛性也使得它成为大量黑客的攻击目标。黑客不仅可以轻松盗取邮箱密码,而且还可以利用邮箱炸弹来发起攻击。面对这些攻击手段,用户需要做好电子邮箱的安全防御措施。一、盗取邮箱密码邮箱密码是登录邮箱的钥匙,一旦邮箱密码泄露,则邮箱内的个人信息也会泄露,从而来带重大的损失。由于电子邮箱本身存在着一些漏洞,因此黑客可通...
2018-12-27 16:05:01
5825
电子邮箱攻防图片步骤
2018-12-27
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人