对标KnowBe4!承制Mind4All旗下安全意识内容系统Mental Gear震撼上线 人员已成为全球网络攻击的主要媒介，正如Verizon2022年数据泄露调查报告所揭示的，现在对企业构成最大风险的是人，而不是技术。有效的安全意识计划已经成为人为风险管理的关键所在，也是投入产出比最高的... 2023-5-6 08:41:18 | 阅读: 20 | 收藏 | 亿人安全 安全 网络 mg knowbe4

实战|记一次利用XSS读取源码和Nosql注入渗透测试 常规的XSS利用方式主要有窃取cookie、恶意链接、获取键盘记录、网页钓鱼、挂马等等，本次渗透首先通过XSS漏洞，利用XMLRequest发起ajax请求，实现了发起http请求的目的，并且把请求的... 2023-5-6 08:41:14 | 阅读: 31 | 收藏 | 亿人安全 php mailroom cal htb nosql

薪酬6连涨！网络安全的天花板在哪里? 这几年随着我国《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策/法规/标准的持续落地，网络安全行业地位、薪资随之水涨船高。据9月6日发布的《网络安全人才实战能力白皮书》显示... 2023-5-5 08:42:26 | 阅读: 43 | 收藏 | 亿人安全 安全 网络 渗透 攻防

java代码审计-CSRF CSRF跨站请求伪造（Cross-site request forgery），当某个接口没有设置CSRF验证，点击了别人恶意的链接，可能会造成对这个接口发送相应的数据，造成某个数据被更改。常发生在转帐... 2023-5-4 09:0:27 | 阅读: 24 | 收藏 | 亿人安全 数据 thymeleaf 伪造 postmapping

JAVA代码审计-迷你天猫商城 迷你天猫商城是一个基于Spring Boot的综合性B2C电商平台，需求设计主要参考天猫商城的购物流程：用户从注册开始，到完成登录，浏览商品，加入购物车，进行下单，确认收货，评价等一系列操作。作为迷你... 2023-5-4 09:0:23 | 阅读: 25 | 收藏 | 亿人安全 漏洞 log4j 数据 mybatis 攻击

java代码审计-CSRF CSRF跨站请求伪造（Cross-site request forgery），当某个接口没有设置CSRF验证，点击了别人恶意的链接，可能会造成对这个接口发送相应的数据，造成某个数据被更改。常发生在转帐... 2023-5-3 09:3:48 | 阅读: 22 | 收藏 | 亿人安全 数据 thymeleaf 审计 getmapping

五一放假给自己充充电！热门网安认证都在这里啦~ 五一小长假五一假期热浪已迎面扑来，小伙伴们计划好去哪里游玩了吗？欢庆五一学习与劳动同样光荣承制为大家准备了丰厚的活动礼品，趁着几天时间给自己充充电，拿到一张自己心仪的网安证书也是一个不错的选择哦~网安... 2023-4-28 08:40:46 | 阅读: 19 | 收藏 | 亿人安全 五一 京东 一等奖 一等 任一

Java代码审计-XSS漏洞 0x01 前言XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript。xss本质上... 2023-4-27 08:41:48 | 阅读: 25 | 收藏 | 亿人安全 stringutils 攻击 漏洞

小记某攻防演练--弱口令引发的域控沦陷 前言这次流程大概是这样的：信息收集>>sso爆破>>jeecg getshell>>密码喷洒>>dcsync ，都是比较基础的操作。getshell刚开始通过信息收集从github一个项目里面找到了一... 2023-4-24 17:32:1 | 阅读: 16 | 收藏 | 亿人安全 账号 sso jeecg 喷洒

java代码审计-SpEL表达式注入 0x01 前言Spring Expression Language（简称 SpEL）是一种功能强大的表达式语言、用于在运行时查询和操作对象图；语法上类似于Unified EL，但提供了更多的特性，特别... 2023-4-23 11:4:21 | 阅读: 28 | 收藏 | 亿人安全 getvalue 漏洞

实战|记一次测试过程中登录参数加密逆向分析 在测试过程中遇到一个登录框，看到前端加密的情况下对密码处进行了简单的加密分析在控制台中打开网络，匹配Fetch/XHR，可以看到password处进行了加密处理在js中全局搜索encrypt这里可以看... 2023-4-23 11:4:18 | 阅读: 19 | 收藏 | 亿人安全 加密 cryptjs ciphertext padded 脚本

单个漏洞最高24000，平安寿险携手3倍奖励活动来袭！ 2023-4-21 19:28:31 | 阅读: 20 | 收藏 | 亿人安全 平安 pingan 漏洞 人寿 security

记一次坎坷的打靶之路(4) 一直做的靶场都是linux系统，这次找到一个好玩的windows域靶场（靶场平台：http://www.cloud-pentest.cn）。历时三天，五个flag，拿到域控下的flag才算成功。依旧是... 2023-4-21 19:28:26 | 阅读: 20 | 收藏 | 亿人安全 机子 漏洞 端口 ms17 靶场

Kwai SRC邀您参与客户端专项活动！ 快手客户端专项活动来啦！提交IOS端及PC端产品漏洞有翻倍奖励一起来看看吧！活动时间4月24日-5月5日业务范围1.IOS端以下APP仅针对IOS端有翻倍奖励（仅收录客户端相关漏洞，非API问题）国内... 2023-4-20 09:3:37 | 阅读: 31 | 收藏 | 亿人安全 漏洞 小店 伴侣 翻倍

java代码审计-SpEL表达式注入 0x01 前言Spring Expression Language（简称 SpEL）是一种功能强大的表达式语言、用于在运行时查询和操作对象图；语法上类似于Unified EL，但提供了更多的特性，特别... 2023-4-20 09:3:33 | 阅读: 22 | 收藏 | 亿人安全 getvalue 漏洞

从某小电影下载工具破解入手逆向实操 2023-4-16 11:19:1 | 阅读: 6 | 收藏 | 亿人安全

ISRC劳模众测月！单个漏洞奖励最高可至万元！ 2023-4-16 11:18:57 | 阅读: 15 | 收藏 | 亿人安全 hehe 安全

我问了鹅厂程序员：你们工作中怎么用ChatGPT？如何高效Prompt？ 2023-4-15 11:42:34 | 阅读: 8 | 收藏 | 亿人安全

java代码审计-ssrf漏洞 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定 URL 地址获取网页文本内容，加载指定地址的图片，下载等等。这里主要介绍java中UR... 2023-4-14 09:7:15 | 阅读: 17 | 收藏 | 亿人安全 openstream ssrf web3

记录一次坎坷的打靶经历·三 Bugku的PAR模式，渗透测试3，共8个flag，这次打靶挺轻松，感觉比较简单，一次过，嘿嘿。在此，分享出来笔者的过程，并呈现自己的思考，同时也希望能获得大佬的指点。0x01 flag1 （ssrf... 2023-4-12 08:42:17 | 阅读: 28 | 收藏 | 亿人安全 机子 php 端口 database ssrf