业务安全 电商的支付风控怎么玩? 鸣 谢 VSRC感谢业界小伙伴——独孤qiu败投稿精品原创类文章,对互联网黑灰产有兴趣以及对风控体系策略设计有兴趣的同学欢迎加作者微信号 duguqiubaiwp 共同交流! 序言 对于电商行业的风控而言,一个不懂业务的产品经理不是一个好产品。 着实,想要做好一个好的风控产品经理,对于风控业务知识的理解必须得足够深刻,才能在业务需求的基础上做到更深层次的产品设计。 之前写了几篇... 2017 /8/4 11:30 2 条评论 6,182 业务安全
Web安全 小白如何学习挖掘漏洞 | 滴滴DSRC课程第一期 前言 为了帮助各位白帽加速成长,学到更多的实用技巧。运营妹子决定开设DSRC课程,定期邀请一些嘉宾为大家进行主题分享。如果你也想来分享,欢迎到微信后台留言联系我们。 本期嘉宾 第一期课堂的主题是:小白如何学习挖掘漏洞。很荣幸邀请到了土夫子、Alex、Blood_zer0为大家进行分享。 1、小白怎么入门? 土夫子 入门没太多的技巧,主要还是学习与积累。比如对于没安全基础的人(如... 2017 /2/14 15:30 沙发 4,713 Web安全
内网渗透 内网渗透的一些工具和平台汇总 各位老司机在日常的渗透过程中,都会有自己趁手的工具集合,有开源的有私有的,不管什么样的工具组合,能够达到最佳的渗透效果就是好工具,老司机分享一点自己在内网渗透中惯用的开源工具和平台。 渗透测试平台类: Metasploit,这个大家都不陌生了,集信息收集,预渗透,渗透,后渗透,木马,社会工程学于一体的平台,居家旅行,杀人越货之必备。SET(Social-engineer-t... 2017 /1/8 19:23 1 条评论 13,290 内网渗透 工具
安全报告 国外公开渗透测试报告锦集分享 前言: 在PTES(渗透测试执行标准)中,把渗透测试分成了七个主要的过程,也就是说现在通常说的前期交互、目标识别、信息收集、漏洞分析、漏洞利用、后渗透测试、报告编制这七大步骤。 也许你很强势的完成了测试任务,获取了测试权限。但在纠结安全渗透测试报告不会写?来看看人家老外团队是怎么完成精美的总结报告吧。 项目介绍: 这个是juliocesarfort收集了几个咨询公司和学术组织发... 2016 /8/20 15:54 1 条评论 4,011 安全报告
内网渗透 一次完整的从webshell到域控的探索之路 内网渗透测试资料基本上都是很多大牛的文章告诉我们思路如何,但是对于我等小菜一直是云里雾里。 于是使用什么样的工具才内网才能畅通无阻,成了大家一直以来的渴求。 前言 内网渗透测试资料基本上都是很多大牛的文章告诉我们思路如何,但是对于我等小菜一直是云里雾里。 于是使用什么样的工具才内网才能畅通无阻,成了大家一直以来的渴求。 今天小菜我本着所有师傅们无私分享的精神,特将三年内求师傅... 2016 /8/20 14:49 3 条评论 9,215 内网渗透
专题 Cobalt strike browser pivot的应用实例 Cobaltstrike 还是除了是最好的域渗透平台,没有之一之外,还是很强大的协同apt平台,其中各种小功能包括邮件钓鱼,网页钓鱼,doc钓鱼等功能, 这里我们介绍另外一个在进行渗透和信息收集中很重要的一个功能,browser pivot功能。 Browser pivot,顾名思义,就是通过浏览器建立起代理,这里的浏览器代理和常规的http浏览器代理还略有不同,... 2016 /7/28 15:46 沙发 2,627 专题
资讯 2016 JSRC安全乌托邦广州站沙龙结圆满结束 广州秦汉时就是繁荣都会, 汉唐以来是海上“丝绸之路”的始发港,现今经济发达,城市繁华,最重要的是广州还是大黑阔们聚集之地。 故此,广州也成为本次2016年2016JSRC乌托邦沙龙的首选地。参见《2016 JSRC安全乌托邦–广州站即将发车》 7月22日,沙龙于广州天河区日航酒店下午14时正式开始,由唯品会安全应急响应中心协办,本期沙龙主题是威胁情报。开场之际,大家陆续签到入座... 2016 /7/26 12:42 沙发 2,836 资讯
内网渗透 Tunnel:论如何在内网中自由渗透 背景 能够成功地通过web漏洞获取到webshell,对于一次完整的渗透测试来说,仅仅相当于万里长征的第一步。这么说,可能比较夸张吧,并不是所有渗透测试都会遇到几百台机器的大内网。(脉搏小编注:童鞋,几百万台才算大内网吧?你这几百台好像没见过世面。。) 在PTES(渗透测试执行标准)中,把渗透测试分成了七个主要的过程,也就是说现在通常说的前期交互、目标识别、信息收集、漏洞分析、... 2016 /7/24 17:19 1 条评论 3,882 内网渗透
内网渗透 记一次内网渗透 前言 一客户,指定要给其公司做安全测试可从网络层面做,也可以人肉社工 :-) 对于一个小清新来说,怎么可以做人肉社工呢,要是把对方公司的妹子骗走怎么办,于是果断交给单身的同事去做了。 自己默默的看站,客户扔过来的一个域名,域名是a.com,其他什么信息都没有。 信息收集 Google搜了下,得到了一批二级域名;开起kali用fierce来一轮域名枚举,成功枚举出某域名下的子... 2015 /1/14 13:30 3 条评论 6,901 内网渗透
工具 信息收集利器Foca final version Foca是款西班牙同僚开发的信息收集安全利器,主要对DNS和metadata元数据扫描分析还不错,Vul扫描似乎不太给力。官网猛戳这里:https://www.elevenpaths.com/labstools/foca/index.html 一、 说明(Description): FOCA主要是个检查和扫描文件的元数据及隐藏信息的信息收集工具。这... 2014 /9/10 21:18 1 条评论 6,944 工具
