渗透测试

Web安全 web安全之如何全面发现系统后台

web安全之如何全面发现系统后台

前言 所谓的网站后台管理系统主要是用于对网站前台的信息管理,如文字、图片、影音、和其他日常使用文件的发布、更新、删除等操作,同时也包括会员信息、订单信息、访客信息的统计和管理等相关操作。简单来说就是对网站数据库和文件的快速操作和系统管理,方便前台内容的更新及管理。 渗透测试中得到后台的必要性: 后台能执行更多的敏感操作,如上传webshell。 通过SQL注入等拿到后台账户密...
Web安全 透过F5获取服务器真实内网IP技巧

透过F5获取服务器真实内网IP技巧

渗透测试过程中,经常会遇到目标服务器使用F5 LTM做负载均衡。 如果能获取到目标服务器的真实IP地址,会给后续渗透带来一定便利。 本文既是最近渗透遇到的一点点经验分享。 F5修改cookie机制 F5 LTM做负载均衡时,有多种机制实现会话保持。 其中用到很多的一种是通过修改cookie来实现的。 具体说来,F5在获取到客户端第一次请求时,会使用set cookie头,给客户...
安全报告 老司机奇淫渗透测试让网站给自己发管理员账号密码

老司机奇淫渗透测试让网站给自己发管理员账号密码

本文《老司机奇淫渗透测试让网站给自己发管理员账号密码》由armyzer0团队原创投稿安全脉搏,作者老司机,安全脉搏SecPulse.Com独家发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 团队 一枚 老司机的奇葩司机思路,发出来让大家看看 他到底有多老司机! 对他老司机这一件事,我能怎么办,我也很绝望呀! 我和大家一样看文章以前 都是一枚不明真相的吃瓜土狗...
招聘 湖南高阳通联诚聘安全渗透工程师

湖南高阳通联诚聘安全渗透工程师

全球最大的手机支付项目-“和包”,彻底改变人们的支付和生活方式。 中国移动的“和包”项目(原名手机支付),以人为本,以更好地为社会服务为核心目标。 融合了金融、电信、智能卡、支付产品设计等多个领域的领先技术,值得有识有志之士为之付出智慧和热血。 高阳通联(湖南高阳通联信息技术有限公司)作为“中国移动和包”项目的业务合作公司,诚聘计算机、金融、市场营销、电子商务、工商管理等专业的...
移动安全 Android 渗透测试学习手册(六)玩转 SQLite

Android 渗透测试学习手册(六)玩转 SQLite

前言 上文讲述了《正文 Android 渗透测试学习手册(五)Android 取证》,本章我们讲继续讲述 Android 渗透测试学习的玩转 SQLite SQLite 是一个开源数据库,具有许多类似于其他关系数据库(如 SQL)的功能。 如果你是应用程序开发人员,你可能还会注意到 SQLite 查询看起来或多或少像 SQL 一样。 在 Android 中选择 SQLite 的...
移动安全 Android 渗透测试学习手册(五)Android 取证

Android 渗透测试学习手册(五)Android 取证

前言 上文讲述了《Android 渗透测试学习手册(四)对 Android 设备进行流量分析》,本章我们讲继续讲述 Android 渗透测试中的Android 取证 5.1 取证类型 取证是使用不同的手动和自动方法从设备中提取和分析数据。它可以大致分为两类: 1,逻辑采集:这是的一种取证方法,其中取证员与设备交互并从文件系统提取数据。该数据可以是任何内容,诸如应用特定数据,联系...
移动安全 Android 渗透测试学习手册(四)对 Android 设备进行流量分析

Android 渗透测试学习手册(四)对 Android 设备进行流量分析

前言 上文讲述了《Android 渗透测试学习手册(三)Android 应用的逆向和审计》在本章中,我们将研究 Android 设备的网络流量,并分析平台和应用程序的流量数据。 通常应用程序会在其网络数据中泄漏敏感信息,因此发现它是渗透测试程序最重要的任务之一。 此外,你经常会遇到通过不安全的网络协议执行身份验证和会话管理的应用程序。 因此,在本章中,我们将学习如何拦截和分析 ...
移动安全 Android 渗透测试学习手册(二)准备实验环境

Android 渗透测试学习手册(二)准备实验环境

前言 在上一章《Android 渗透测试学习手册(一)Android 安全入门》中,我们了解了 Android 安全性及其体系结构的基础知识。 在本章中,我们将了解如何建立 Android 渗透测试实验环境,其中包括下载和配置 Android SDK 和 Eclipse。 我们将深入了解 ADB,并了解如何创建和配置 Android 虚拟设备( AVD)。 2.1建 立 开 发...
移动安全 Android 渗透测试学习手册(一)Android 安全入门

Android 渗透测试学习手册(一)Android 安全入门

摘要:Android 是当今最流行的智能手机操作系统之一。 随着人气的增加,它存在很多安全风险,这些风险不可避免地被引入到应用程序中,使得用户本身受到威胁。 我们将在本书中以方法论和循序渐进的方式来讨论 Android 应用程序安全性和渗透测试的各个方面。 文章目录 1.1 Android 简介 1.2 深入了解 Android 1.3 沙箱和权限模型 1.4 应用签...
业务安全 渗透测试中的LLMNR/NBT-NS欺骗攻击

渗透测试中的LLMNR/NBT-NS欺骗攻击

简介  LLMNR&NBT-NS 欺骗攻击是一种经典的内部网络攻击,然而由于一方面了解它的人很少,另一方面在Windows中它们是默认启用的,所以该攻击到现在仍然是有效的。在本文中,我们首先为读者解释什么是LLMNR&NBT-NS攻击,然后介绍如何通过该攻击进行渗透测试,最后,给出针对该漏洞的防御措施。 什么是LLMNR和NetBIOS名称服务器广播? 当DNS名称服务器请求...
招聘 京东信息安全部2017招聘各类人才

京东信息安全部2017招聘各类人才

京东商城是中国B2C市场最大的3C网购专业平台,是中国电子商务领域最受消费者欢迎和最具影响力的电子商务网站之一。 京东安全应急响应中心现诚意招聘各类人才。 网站:http://security.jd.com   网络安全工程师 工作职责: 负责对公司的网络安全状况进行分析与评估 针对发现的网络安全风险,提出有效的防御方案,并组织、协调相关部门实施 研究网络安全相关技术...
安全建设 一个人的“安全部”

一个人的“安全部”

前言 我在某教育公司负责公司整体安全,保护6000多万“熊孩子”的安全。一年半的时间从什么都没到现在的逐渐成型,此篇文章进行了一个总结,期间也碰到了的很多坑和坎,这里再次感谢帮助过我的朋友们,感谢MottoInTeam小伙伴。由于涉及到企业攻防,有些内容的细节部分这里不方便展开。 对本篇文章有任何问题都可加我微信一起探讨WeChat:atiger77 目录 0×01. 情况概述...
招聘 【招聘】珠海市魅族科技招聘安全测试工程师

【招聘】珠海市魅族科技招聘安全测试工程师

职位名称:安全测试工程师 岗位职责: 1、负责公司互联网产品安全测试(web、安卓) 2、负责安全测试体系建立和维护、安全测试技术的研究 3、负责协助开发定位修复安全问题 4、负责线上安全漏洞跟进 职位要求: 1、大专或以上学历,计算机相关专业 2、精通OWASP TOP10 的漏洞,能深刻理解这些漏洞 3、熟练掌握多种常用安全测试工具,能够搭建各类渗透测试的测试环境 4、熟...
国内资讯 SecMind学习沙龙强势来袭

SecMind学习沙龙强势来袭

SecMind学习沙龙简介: SecMind学习沙龙是豌豆科技组织的免费网络安全技能培训,旨在培养和发现对网络安全技术有浓厚兴趣的技能型人才; 我们希望通过SecMind学习沙龙吸引各类技术人才,共同组织公益性网络安全培训组织,为更多网络安全技术爱好者提供最有力的帮助和支持! 本沙龙活动为学员精心准备了Web安全、移动安全、恶意代码分析、漏洞挖掘等网络安全课程,同时将定期邀请业...
Web安全 挖掘铠甲后的目标–逆向CDN的各种方式总结(干货,附解决方案)

挖掘铠甲后的目标–逆向CDN的各种方式总结(干货,附解决方案)

国内民间中小型网站有常见的"360网站卫士","百度云加速","云盾","安全宝"等 和国外这类CDN+云WAF的始祖"cloudflare" 以及 我国各大部级单位网站和各类大型公司所使用的cdn 例如蓝汛,网宿等等。 CDN的存在导致渗透测试时无法对web服务器进行直接攻击。攻击扫描等也会被cdn自带的waf拦截。是任何hacker在渗透时的一大阻碍(个别人会直接攻击篡改C...

友情链接

合作伙伴