实战|记一次校内站点的渗透测试 前言这次渗透的对象是一个校内的获奖提交申报平台。不知道什么原因，这个站点未接入深信服waf，所以这次渗透过程异常轻松。0x01 越权首先使用功能点添加一次申报点击编辑，抓包可以看到是使用id控制返回的... 2023-4-11 08:41:29 | 阅读: 47 | 收藏 | 亿人安全 easyui 140px 数据 29px panelheight

免杀|白加黑的初步探究 文章首发于:先知社区https://xz.aliyun.com/t/123760X00前言为什么我们需要白加黑这种攻击方法呢？答：降本增效，我们知道在以后AI+安全崛起的大背景下，社工将会成为攻防演练... 2023-4-9 22:19:7 | 阅读: 56 | 收藏 | 亿人安全 powershell 攻击 windows 脚本 0x8b

一本关于【Web安全与攻防对抗】的实战书 今天给大家推荐本新书《Web 漏洞解析与攻防实战》，推荐理由：1、作者团队来自一线攻防技术大佬，拥有丰富的实战技术经验2、内容覆盖 web 漏洞种类非常全面，是一本入门 web 安全领域的必备书籍需要... 2023-4-8 10:20:8 | 阅读: 70 | 收藏 | 亿人安全 安全 漏洞 网络 攻防

干货 | 等级保护2.0落地实践 等级保护制度是我国网络安全领域的基本制度、基本国策，《网络安全法》第二十一条 明确要求：国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。等保2.0相关国家... 2023-4-7 11:32:35 | 阅读: 18 | 收藏 | 亿人安全 安全 网络 信息 定级

【安全第1课】从零到一拿下xx网站 首先，对于网络安全初学者，选择适合的方向和方法至关重要！有的同学完全没有计算机功底，上来就去学渗透、学逆向破解App，结果折腾半天，学了点皮毛就被“劝退”了。因此，学网络安全，是先网络后安全；学Web... 2023-4-6 08:37:26 | 阅读: 62 | 收藏 | 亿人安全 安全 网络 攻防 漏洞

云时代，安全的6大变化 人工智能 (AI)、物联网 (IoT)、量子计算、纳米技术等被称为第四次工业革命的最新技术，模糊了物理世界和数字世界之间的界限。第四次工业革命，正在以比人类历史上任何一次革命都快的速度到来，而云和网络... 2023-4-4 08:36:3 | 阅读: 16 | 收藏 | 亿人安全 安全 控制 网络 风险

java代码审计-文件操作 @GetMapping("/path_traversal/vul") public String getImage(String filepath) throws IOException {... 2023-4-3 08:42:27 | 阅读: 18 | 收藏 | 亿人安全 imgfile excelfile 穿越

实战|对某SRC的渗透测试实战 前言因为不甘心被称作会只点鼠标的猴子，所以开始了一次某SRC漏洞挖掘，为期一个多星期。文章有点长，但请耐心看完，记录了完整的SRC漏洞挖掘实战渗透过程因为选择的幸运儿没有对测试范围进行规划，所以此次范... 2023-3-30 09:23:29 | 阅读: 22 | 收藏 | 亿人安全 漏洞 tns 数据 绕过 信息

记录一次坎坷的打靶经历·二 我也没想到居然能有第二篇，可能是我打靶太过于坎坷（其实就是菜，呜呜呜）。言归正传，bugku的par模式，渗透测试2，共9个flag，打了三次，历时三天，全部拿下。整个打靶过程依旧十分坎坷，在此，分享... 2023-3-29 08:42:43 | 阅读: 16 | 收藏 | 亿人安全 漏洞 打靶 仓库 jndi log4j2

"云安全界顶级认证，拿下它，跨越高薪瓶颈！" 自2022年8月1日起CCSP注册云安全专家认证可以在北京、广东、上海、沈阳等地约中文考后，承制科技第一时间取得了CCSP的官方培训授权并组织开展了CCSP培训。     注册云安全专家(Certif... 2023-3-28 11:32:31 | 阅读: 24 | 收藏 | 亿人安全 安全 ccsp 数据 信息

java代码审计-命令执行漏洞 0x01 前言在Java中可用于执行系统命令常见的方式有两种，API为：java.lang.Runtime、java.lang.ProcessBuilder0x02 java.lang.Runtime... 2023-3-27 08:41:27 | 阅读: 27 | 收藏 | 亿人安全 getmapping groovyshell tmpstr cmdlist

实战|记录一次坎坷的打靶经历 Bugku的PAR模式，渗透测试1，共11个flag，打了很多次，历时四天，最后还是只拿了10个flag（最后一个看wp做出来的）。整个打靶过程十分坎坷。在此，分享出来笔者的过程，并呈现自己的思考，同... 2023-3-23 10:22:46 | 阅读: 21 | 收藏 | 亿人安全 数据 端口 p32 打靶 机子

【实战】记一次挖矿专项排查 事件背景根据上级开展挖矿专项整治工作，针对当地网吧、酒店等地区开展挖矿排查，此事件便是挖矿专项整治工作中的一例典型。币种类型RVN币中文名称渡鸦币，英文全称Ravencoin，是一种实验性的数字货币，... 2023-3-22 11:31:23 | 阅读: 30 | 收藏 | 亿人安全 网吧 cssrs ravencoin 计费 rvn

java代码审计-sql注入 0x01 前言Java里面常见的数据库连接方式有三种，分别是JDBC，Mybatis，和Hibernate。0x02 JDBC注入场景很早之前的Javaweb都是用JDBC的方式连接数据库然后去实现d... 2023-3-21 08:40:54 | 阅读: 19 | 收藏 | 亿人安全 注入 mybatis username hibernate mapper

自学RedTeam之安全的C2设施 最近在学习研究RedTeam方面的相关知识，第一步是做一个安全的C2设施，基本原理就是通过制作自制的store证书消除特征、修改teamserver为本机连接防止被蓝队发现C2服务器、反向代理设置特定... 2023-3-17 11:32:51 | 阅读: 26 | 收藏 | 亿人安全 jquery x90 c2 证书 x26

PHP代码审计之kitecms 使用phpstudy进行搭建环境，然后进入install目录。然后输入数据库名和密码。成功搭建好环境，然后进入后台页面。1.文件上传漏洞首先进入配置-上传，然后发现这里有图片限制类型。我们继续对这里的... 2023-3-14 08:43:23 | 阅读: 30 | 收藏 | 亿人安全 漏洞 数据 php 攻击 信息

从事网络安全行业如果只考取一个证书的话，考哪个？ 从事网络安全行业只要有个3-4年，一个绕不开的认证就是CISSP，太多行内人提到它了。但是CISSP到底值不值得考？大家也应该听到过诸多讨论...ACISSP就是拿来给公司招投标用，对于自己来说没有什... 2023-3-13 11:41:51 | 阅读: 24 | 收藏 | 亿人安全 cissp 安全 承制 网络

i春秋论坛2.0重磅回归|全新改版为你而来 { 点击蓝字，关注我们 }点击碎纸，看清信件这是一封蓄谋已久的邀请函。多年来，i春秋秉持初心，用有温度的技术陪伴着众多有志青年在追梦的道路上不断拼搏,见证了八十余万技术爱好者在突破自我的历程中坚毅笃行... 2023-3-11 20:13:55 | 阅读: 24 | 收藏 | 亿人安全 春秋 安全 法币 靶标 迷茫

技巧|PHP中的代码&命令执行-常见bypass方法 目录PHP中的命令执行与代码执行常见的代码执行函数常见的命令执行函数：命令执行与代码执行linux中用于打开文件的函数：Trick特殊字符bypass重定义$GET bypass无参RCE无字母数字w... 2023-3-11 20:13:18 | 阅读: 33 | 收藏 | 亿人安全 php ffi bypass 分号

做了几个Web逆向的私活，赚了！ 朋友们好！先说个好消息，Python技术做私活的高潮期现已到来，想赚外快的朋友快行动起来！圈子里最近喜报频传，很多人接到大单，甚至有人单靠Python爬虫做副业就能半个月赚3W多！！进入3月以来，公众... 2023-3-10 12:1:12 | 阅读: 20 | 收藏 | 亿人安全 爬虫 加密 逆向 速成 大厂