Web | 安全脉搏

Web安全

如何为 Web 应用程序执行安全测试

根据SDLC的不同阶段，有不同的方法来确保应用程序和网络安全。一些标准方法包括：设计评审此阶段通常包括威胁建模实践，安全团队在此阶段审查应用程序的设计和体系结构，在开始编码过程之前检查安全缺陷。代码审…

中科天齐软件安全 2022-08-01 14:05:15

6,226 0 6
内网渗透

干货 | 无视杀软使用远控横向小技巧

无视杀软使用远控横向小技巧作者：精灵@深信服深蓝实验室天威战队一、前言在某些场景下，服务器装了多个杀软，之前遇到过卡巴加诺顿情况，非常恶心，不仅免杀难过，上线之后很多操作也受限，这时候可能比较好的解…

HACK_Learn 2022-07-19 14:18:40

6,933 0 1
脉搏文库

网络安全行业视角论——论质量既“品牌”（第二季）

“品牌的基石是产品质量的品质，产品质量的品质是百年品牌的保障。——Micropoor第一季《论服务既“销售”》主要围绕了安全行业销售与“新销售”的边界、技术与“新技术”的舞台（乙方视角）。第二季围绕《…

Micropoor 2022-07-13 14:08:55

4,810 0 4
Web安全

记一次失败的实战攻防

0x01前言某天早上接到领导通知，要对某个授权目标进行渗透测试，迫不及待的要来了目标，得知客户只给了一个单位名称。0x02 web打点拿到单位名称，目标资产收集走一波，各种互联网资产探测引擎进行搜索，…

TideSec 2022-07-06 17:15:57

8,089 0 2
Web安全

实战 | 记一次Bypass OTP二次验证的漏洞挖掘

大家好！这个Bypass OTP有点有趣，你会学到很多东西，希望能学到很多东西。所以我正在浏览这个网站，它实际上处理教师的登录和教育内容（政府网站）。让我们称这个网站为“example.com”。为了…

HACK_Learn 2022-06-23 17:20:47

8,771 0 2
Web安全

从一个App到getshell的一次经历 | 技术精选0138

本文约1800字，阅读约需5分钟。在一次授权渗透测试中，得知测试目标是拿到权限或者关键用户数据。客户一开始只提供了一个安卓apk，在这种情况下，我们要怎么顺利完成测试呢？1App测试一开始只提供了安卓…

酒仙桥六号部队 2022-06-17 14:29:26

8,181 0 0
Web安全

Web登录认证类漏洞总结 | 技术精选0137

本文约5000字，阅读约需11分钟。做渗透测试的过程中，碰到过各种各样千奇百怪的Web系统。因此，打算写一篇聚焦于如何获得Web系统权限这个主题的文章。因为其中的复杂性和特殊性，所以部分内容将通过通用…

酒仙桥六号部队 2022-06-16 15:22:00

11,258 0 0
工具

找出隐形资产–利用Hosts碰撞突破边界

从攻击者的视角来进行资产的梳理，采用全端口扫描+子域名收集的方式，识别所有的企业资产暴露面。但即使是这样，往往会因为配置错误或是未及时回收等原因，依然存在着一些隐形资产。01、业务场景一般情况下，使名…

Bypass007 2022-06-02 16:37:29

7,528 0 0
脉搏文库

红队攻击之Frp内网穿透

文章来源｜MS08067 安全实验室本文作者：大方子（Ms08067实验室核心成员）介绍实验映射内网SSH服务映射内网Web服务msf映射frp流量介绍内网穿透从本质上来讲也是端口映射，两者都是将内网…

Ms08067安全实验室 2022-06-01 17:08:19

7,287 0 0
CTF

CTF PHP反序列化姿势总结

前段时间针对自己CTF中Web方向的弱点进行强化训练，并进行了总结，希望能给大家带来一定的帮助ps：本文只针对常见题型进行总结，未对基础知识进行讲解，对基础知识有需求的师傅，还请自行学习0x00 对象…

TideSec 2022-05-18 17:59:22

7,837 0 0
工具

NPS内网穿透工具使用详解

0x01 前言在红队HW中通过前期的打点获得shell后通常下一步就是对内网进行横向，获得shell进想要行横向的前提是我们必须有代理可以访问内网中的资产，这时候我们就需要通过拿到shell的那台机器…

TideSec 2022-04-29 16:40:49

9,156 0 1
CTF

SUSCTF-2022 部分WriteUp

SUSCTF 本次比赛Misc方向题目由魔法少女雪殇、小夜、valen全部解出。团队纳新事项已提上日程，有兴趣的师傅可以留意一下公众号文章。Web★fxxkcors思路：CSRF修改用户权限附件中的j…

Timeline Sec 2022-03-03 14:04:34

8,706 0 0
CTF

SCTF-2021 部分WriteUp

第35名SCTF Web★Loginme代码审计，伪造X-Real-IP就行了，太简单的代码了没啥必要★Upload_itcomposer.json中，引入了两个模块我们通过composer inst…

Timeline Sec 2021-12-30 15:26:35

7,694 0 0
Web安全

浅析流媒体CDN与WEB CDN的业务差异

在互联网领域有一个“8秒定律”，用户访问一个网站时，如果等待网页打开的时间超过8秒，会有超过30%的用户放弃等待，那么，影响网站的访问速度和并发访问量的因素无非就是互联网的连接架构（第一公里和最后一公…

埃文科技 2021-12-10 14:28:00

8,199 0 1
CTF

对一道ctf赛题的详细分析

0x01 前言最近身边有萌新想打ctf，我作为一个曾经接触过一点点ctf的业余菜鸡，就索性做了一道Web题。这篇文章主要是面向想开始打ctf的萌新，所以很多地方可能都比较简单。如有错误之处，欢迎各位指…

合天网安实验室 2021-11-24 10:21:11

8,542 0 0

专栏作者

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge！——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会（Gdevops2020）

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31（周五线上）

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼

友情链接

关注我们

SecPluse

合作伙伴

品牌归属

关于我们

安全脉搏（secpulse.com）是以互联网安全为核心的学习、交流、分享平台，集媒体、培训、招聘、社群为一体，全方位服务互联网安全相关的管理，研发和运维人，平台聚集了众多安全从业者及安全爱好者，他们在这里分享知识、招聘人才，与你一起成长。

©2013- 安全脉搏沪ICP备16016474号

沪公网安备 31010402005682号