Bypass007
安全脉搏

68

文章

218

积分

0

收藏

0

关注

22

粉丝

一个网络安全爱好者,对技术有着偏执狂一样的追求。

至今

2021-6-8
工具

静态代码分析工具清单 

SAST,即静态应用程序安全测试,通过静态代码分析工具对源代码进行自动化检测,从而快速发现源代码中的安全缺陷。本文是一个静态源代码分析工具清单,收集了一些免费开源的项目,可从检测效率、支持的编程语言、…

2021-6-2
工具

IAST 工具初探 

近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些IAST开源项目,可以让更多的个人或者企业参与和体验。本文就目前网络中找到的几款IAST工具进行部署测试,记录一些使用过程和…

2021-4-7
资讯

常见网站劫持案例及解析 

攻击者在入侵网站后,常常会通过恶意劫持流量来获取收益,从而实现流量变现。有一些黑帽劫持的手法堪称防不胜防,正常的访问行为很难发现异常。今天给大家分享一下常见的网站劫持手法和排查思路。我们可以按照基于不…

2021-4-7
脉搏文库

从Web日志还原SQL注入拖走的数据 

利用SQL注入漏洞拖库,从而导致数据泄漏。一般的排查方式,我们可以使用关键字进行搜索,找到可疑的url尝试进行漏洞复现,通过Web访问日志来还原攻击路径,从而确定问题的根源。但是,有一个问题却一直困扰…

2020-12-10
工具

打造自己的弱口令扫描工具 

在内网检测中,弱口令扫描是必不可少的环节,选择一个好用的弱口令扫描工具,尤为重要。我曾写过一款弱口令检测工具,经常有童鞋在后台询问关于iscan源代码的事情,但其实通过Python打造自己的弱口令扫描…

2020-12-1
Windows

内网横向移动思路和技巧 

攻击者借助跳板机进一步入侵内网服务器后,接着会通过各种方式来获取目标系统权限,获取用户的明文密码或Hash值在内网中横向移动。最简单的方式,就是使用明文密码进行登录远程服务器。在这里,我们来总结一下W…

2020-11-25
系统安全

如何进行内网信息收集 

渗透测试的本质是信息收集,我们可以将内网信息收集大致分为5个步骤,即本机信息收集、域内信息收集、登录凭证窃取、存活主机探测、内网端口扫描。最常见的两个问题就是:我是谁?-- whoami 我…

2020-11-25
脉搏文库

三步轻松理解Kerberos协议 

Kerberos是一种身份验证协议,它作为一种可信任的第三方认证服务,通过使用对称加密技术为客户端/服务器应用程序提供强身份验证。在域环境下,AD域使用Kerberos协议进行验证,熟悉和掌握Kerb…

2020-7-28
脉搏文库

绕过CDN寻找真实IP的8种方法 

正常情况下,通过cmd命令可以快速找到域名对应IP,最常见的命令如ping、nslookup。但很多站点出于用户体验和安全的角度,使用CDN加速,将域名解析到CDN,这时候就需要绕过CDN来查找真实I…

2020-6-16
脉搏文库

假设知道服务器IP,如何查询它绑定的域名? 

在一些场景中,我们往往只得到了一个IP地址,那么如何通过IP地址快速地找到它绑定的域名呢?1、IP历史解析记录输入查询的IP地址,获取IP绑定过的域名记录。ip138查询:https://site.i…

2020-5-20
资讯

邮箱伪造之搭建匿名SMTP服务器 

电子邮件欺骗(email spoofing)的根本原因是SMTP协议是不需要身份验证的,攻击者可以利用这个特性伪造电子邮件头,从任意电子邮件地址发送任何人,导致信息看起来来源于某个人或某个地方,而实际…

2020-5-9
系统安全

在线检测你的密码是否被泄露 

在互联网上,每天都有网站遭受黑客攻击,用户数据被窃取,这些数据通常包含用户名、密码(加密字段,甚至可能是明文)、电子邮件地址、IP地址等,用户的隐私安全将受到极大的威胁。今天给大家推荐几个工具网站,检…

2020-4-30
工具

免费好用的APP安全在线检测平台 

小密圈有个朋友问,有没有比较好用的APP检测和加固平台可以推荐?其实,关于这个问题已经有不少前辈都有总结过了,但随着时间的迁移,有些平台已不再运营,也出现了一些新的平台。故此,重新收集和整理了一下那些…

2020-4-30
系统安全

MySQL注入点写入WebShell的几种方式 

在工具化日益成熟的今天,手工注入的能力越来越被忽视了。当你掌握了一款工具的使用时,应更深入的去了解工具帮你做了什么,把工具所产生的影响控制在自己可控的范围内。比如:当面对一个MySQL注入点,通过使用…

2020-4-21
Windows

Windows文件下载执行的15种姿势 

当我们通过Web渗透获取了一个Shell,而且目标主机是Windows,我们该怎么去下载后门文件到目标主机上执行呢?一般来说,实现Windows文件下载执行的方式不外乎以下几种方式。第一种,远程下载文…