渗透测试

招聘 中通快递高薪诚招各路安全人才20到45K

中通快递高薪诚招各路安全人才20到45K

中通快递是一家集快递、物流及其他业务于一体的大型集团公司,作为中国最大的快递公司之一,一直致力于营造安全、快捷的快递服务。 2016年10月27日,中通快递成功登陆美国纽约证券交易所,创当年美国证券市场最大IPO,也是继阿里巴巴2014年赴美上市以来最大规模的中国企业赴美IPO。 中通快递信息安全部以保障上亿客户以及合作伙伴的利益为前提,通过长期的信息安全管理建设,已经搭建起一...
安全文献 用Spring Boot权限维持

用Spring Boot权限维持

之前开发中用过几次Spring boot,就觉得开发起来很方便。Spring boot的一个方便之处就是可以连同服务器直接打包成war包,到哪里直接当jar包运行就可以了。后来我就想到,联合java的另一个特性或许可以做一个不错的后门。 直接上项目架构截图吧,至于怎么弄一个Spring boot项目,请参考网上诸多博客。在项目的webapp目录下我随手打包了一些常用shell,...
招聘 【北京招聘】墨云科技诚招安全人员

【北京招聘】墨云科技诚招安全人员

  北京墨云科技有限公司(www.moyunsec.com)是中国新兴的网络安全服务厂商,由国内BAT360 公司顶尖的白帽子团队组成。 专业从事持续性安全验证分析相关的技术研究和安全分析,致力于打造新一代网络安全验证服务体系。 招聘岗位 渗透测试工程师(10K-20K) 岗位职责: 1、定期完成渗透测试任务,对发现的问题提供解决方案建议 2、收集、整理内外部安全漏...
Web安全 web安全之如何全面发现系统后台

web安全之如何全面发现系统后台

前言 所谓的网站后台管理系统主要是用于对网站前台的信息管理,如文字、图片、影音、和其他日常使用文件的发布、更新、删除等操作,同时也包括会员信息、订单信息、访客信息的统计和管理等相关操作。简单来说就是对网站数据库和文件的快速操作和系统管理,方便前台内容的更新及管理。 渗透测试中得到后台的必要性: 后台能执行更多的敏感操作,如上传webshell。 通过SQL注入等拿到后台账户密...
Web安全 透过F5获取服务器真实内网IP技巧

透过F5获取服务器真实内网IP技巧

渗透测试过程中,经常会遇到目标服务器使用F5 LTM做负载均衡。 如果能获取到目标服务器的真实IP地址,会给后续渗透带来一定便利。 本文既是最近渗透遇到的一点点经验分享。 F5修改cookie机制 F5 LTM做负载均衡时,有多种机制实现会话保持。 其中用到很多的一种是通过修改cookie来实现的。 具体说来,F5在获取到客户端第一次请求时,会使用set cookie头,给客户...
安全报告 老司机奇淫渗透测试让网站给自己发管理员账号密码

老司机奇淫渗透测试让网站给自己发管理员账号密码

本文《老司机奇淫渗透测试让网站给自己发管理员账号密码》由armyzer0团队原创投稿安全脉搏,作者老司机,安全脉搏SecPulse.Com独家发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 团队 一枚 老司机的奇葩司机思路,发出来让大家看看 他到底有多老司机! 对他老司机这一件事,我能怎么办,我也很绝望呀! 我和大家一样看文章以前 都是一枚不明真相的吃瓜土狗...
招聘 湖南高阳通联诚聘安全渗透工程师

湖南高阳通联诚聘安全渗透工程师

全球最大的手机支付项目-“和包”,彻底改变人们的支付和生活方式。 中国移动的“和包”项目(原名手机支付),以人为本,以更好地为社会服务为核心目标。 融合了金融、电信、智能卡、支付产品设计等多个领域的领先技术,值得有识有志之士为之付出智慧和热血。 高阳通联(湖南高阳通联信息技术有限公司)作为“中国移动和包”项目的业务合作公司,诚聘计算机、金融、市场营销、电子商务、工商管理等专业的...
移动安全 Android 渗透测试学习手册(六)玩转 SQLite

Android 渗透测试学习手册(六)玩转 SQLite

前言 上文讲述了《正文 Android 渗透测试学习手册(五)Android 取证》,本章我们讲继续讲述 Android 渗透测试学习的玩转 SQLite SQLite 是一个开源数据库,具有许多类似于其他关系数据库(如 SQL)的功能。 如果你是应用程序开发人员,你可能还会注意到 SQLite 查询看起来或多或少像 SQL 一样。 在 Android 中选择 SQLite 的...
移动安全 Android 渗透测试学习手册(五)Android 取证

Android 渗透测试学习手册(五)Android 取证

前言 上文讲述了《Android 渗透测试学习手册(四)对 Android 设备进行流量分析》,本章我们讲继续讲述 Android 渗透测试中的Android 取证 5.1 取证类型 取证是使用不同的手动和自动方法从设备中提取和分析数据。它可以大致分为两类: 1,逻辑采集:这是的一种取证方法,其中取证员与设备交互并从文件系统提取数据。该数据可以是任何内容,诸如应用特定数据,联系...
移动安全 Android 渗透测试学习手册(四)对 Android 设备进行流量分析

Android 渗透测试学习手册(四)对 Android 设备进行流量分析

前言 上文讲述了《Android 渗透测试学习手册(三)Android 应用的逆向和审计》在本章中,我们将研究 Android 设备的网络流量,并分析平台和应用程序的流量数据。 通常应用程序会在其网络数据中泄漏敏感信息,因此发现它是渗透测试程序最重要的任务之一。 此外,你经常会遇到通过不安全的网络协议执行身份验证和会话管理的应用程序。 因此,在本章中,我们将学习如何拦截和分析 ...
移动安全 Android 渗透测试学习手册(二)准备实验环境

Android 渗透测试学习手册(二)准备实验环境

前言 在上一章《Android 渗透测试学习手册(一)Android 安全入门》中,我们了解了 Android 安全性及其体系结构的基础知识。 在本章中,我们将了解如何建立 Android 渗透测试实验环境,其中包括下载和配置 Android SDK 和 Eclipse。 我们将深入了解 ADB,并了解如何创建和配置 Android 虚拟设备( AVD)。 2.1建 立 开 发...
移动安全 Android 渗透测试学习手册(一)Android 安全入门

Android 渗透测试学习手册(一)Android 安全入门

摘要:Android 是当今最流行的智能手机操作系统之一。 随着人气的增加,它存在很多安全风险,这些风险不可避免地被引入到应用程序中,使得用户本身受到威胁。 我们将在本书中以方法论和循序渐进的方式来讨论 Android 应用程序安全性和渗透测试的各个方面。 文章目录 1.1 Android 简介 1.2 深入了解 Android 1.3 沙箱和权限模型 1.4 应用签...
业务安全 渗透测试中的LLMNR/NBT-NS欺骗攻击

渗透测试中的LLMNR/NBT-NS欺骗攻击

简介  LLMNR&NBT-NS 欺骗攻击是一种经典的内部网络攻击,然而由于一方面了解它的人很少,另一方面在Windows中它们是默认启用的,所以该攻击到现在仍然是有效的。在本文中,我们首先为读者解释什么是LLMNR&NBT-NS攻击,然后介绍如何通过该攻击进行渗透测试,最后,给出针对该漏洞的防御措施。 什么是LLMNR和NetBIOS名称服务器广播? 当DNS名称服务器请求...
招聘 京东信息安全部2017招聘各类人才

京东信息安全部2017招聘各类人才

京东商城是中国B2C市场最大的3C网购专业平台,是中国电子商务领域最受消费者欢迎和最具影响力的电子商务网站之一。 京东安全应急响应中心现诚意招聘各类人才。 网站:http://security.jd.com   网络安全工程师 工作职责: 负责对公司的网络安全状况进行分析与评估 针对发现的网络安全风险,提出有效的防御方案,并组织、协调相关部门实施 研究网络安全相关技术...
安全建设 一个人的“安全部”

一个人的“安全部”

前言 我在某教育公司负责公司整体安全,保护6000多万“熊孩子”的安全。一年半的时间从什么都没到现在的逐渐成型,此篇文章进行了一个总结,期间也碰到了的很多坑和坎,这里再次感谢帮助过我的朋友们,感谢MottoInTeam小伙伴。由于涉及到企业攻防,有些内容的细节部分这里不方便展开。 对本篇文章有任何问题都可加我微信一起探讨WeChat:atiger77 目录 0×01. 情况概述...

友情链接

合作伙伴