记一次通过逻辑漏洞组合进入某公司股份管理后台的案例 *用到的工具：1、burp suite；2、fiddle*# 一、打开公司官网# 二、进入XX管理系统## 漏洞一：信息泄露1、通过前端接口拼接发现信息泄露，包括姓名和手机号等信息## 漏洞二：密码重... 2024-1-12 09:58:16 | 阅读: 13 | 收藏 | 黑白之道 信息 安全 网络 漏洞

2023年十大零日漏洞攻击 2023年，随着勒索软件和APT组织纷纷调整攻击策略，零日漏洞攻击快速升温并有望在2024年延续这一趋势。根据谷歌威胁分析小组今年7月发布的报告，2021年野外利用零日漏洞数量（69个）创下历史新高后... 2024-1-12 09:58:13 | 阅读: 5 | 收藏 | 黑白之道 漏洞 攻击 安全 披露 攻击者

男子窃取出卖军工涉密文件，国安抓捕画面曝光；|思科又曝一严重漏洞，可被黑客利用获取 root 权限 男子窃取出卖军工涉密文件，国安抓捕画面曝光；1月10日是第四个中国人民警察节，国家安全部公布了三起间谍案的细节：“国安宣工作室”发布2024年国安警察形象宣传片《我是谁》，片中出现了两个间谍被抓捕的画... 2024-1-12 09:58:9 | 阅读: 14 | 收藏 | 黑白之道 间谍 漏洞 安全 国安 思科

图形化界面的poc管理工具和漏洞扫描工具 01工具介绍本工具是采用javafx编写，使用sqllite进行poc储存的poc管理和漏洞扫描集成化工具。可以可视化添加POC和指纹进行POC管理和漏洞扫描功能，包含POC管理、漏洞扫描、指纹识别、... 2024-1-11 11:1:45 | 阅读: 24 | 收藏 | 黑白之道 漏洞 模块 安全 sqllite

绕过Elastic EDR提高你的隐身能力 第1部分在最近的一次评估中，我和我的队友的任务是对多个应用程序进行网络安全审查，如果有机会，还可以进行内部渗透测试。在其中一个应用程序上，我们成功上传了一个执行Windows cmd的aspx web... 2024-1-11 11:1:41 | 阅读: 23 | 收藏 | 黑白之道 beacon windows 02d github

特别重大、重大、较大网络安全事件，怎么分？ 2023年12月8日，国家网信办发布了《网络安全事件报告管理办法（征求意见稿）》，面向社会公开征求意见。其中，附件里对网络安全事件分级作出了规定，具体如下：网络安全事件分级指南一、特别重大网络安全事件... 2024-1-11 11:1:36 | 阅读: 5 | 收藏 | 黑白之道 安全 网络 信息 威胁

从900余个数币账户取现1000余万元 上海审结首例数字人民币“跑分”案件；|四川查处两起利用AI编造、传播网络谣言案件； 从900余个数币账户取现1000余万元 上海审结首例数字人民币“跑分”案件；2024年1月9日，上海市杨浦区人民法院近日审结了上海首例利用数字人民币“跑分”案件，经司法审计，2023年5 月至6月间，... 2024-1-11 11:1:32 | 阅读: 14 | 收藏 | 黑白之道 网络 犯罪 取现 atm 谣言

v1.4.0！fastjson漏洞批量检测工具 工具简介根据现有payload，检测目标是否存在fastjson或jackson漏洞（工具仅用于检测漏洞、定位payload）若存在漏洞，可根据对应payload进行后渗透利用若出现新的漏洞时，可将最... 2024-1-10 10:8:21 | 阅读: 14 | 收藏 | 黑白之道 jsonexp payload 漏洞 信息 回弹

免杀|先锋马免杀分享 原文首发在：奇安信攻防社区https://forum.butian.net/share/2530作者:凝 先看效果(文中附源码) 思路 1.shellcode自身免杀 首先cs生成一个bin文件 再没... 2024-1-10 10:8:18 | 阅读: 12 | 收藏 | 黑白之道 shellcode 加密 ntdllbase

分析VR和AR的潜在安全风险 虚拟现实（VR）和增强现实（AR）技术这两个概念虽然已经出现了很多年，但凭借丰富的案例和无限潜力仍旧获得了很多青睐。如今VR和AR这对组合已得到主流采用，在电子商务、娱乐及许多其他行业不乏成功项目的例... 2024-1-10 10:8:14 | 阅读: 6 | 收藏 | 黑白之道 安全 虚拟 数据 信息 伪造

全国首例！乘客起诉铁路部门刷脸进站侵权法院驳回；|台湾虎航遭遇信息泄漏！85.8 万数据可被下载 全国首例！乘客起诉铁路部门刷脸进站侵权法院驳回刷脸支付、刷脸打卡、刷脸门禁，近年来“人脸识别”作为一项新的信息技术因其识别的精准性、便捷性在各类领域得到广泛应用，铁路运输企业等公共交通领域也广泛将其应... 2024-1-10 10:8:10 | 阅读: 19 | 收藏 | 黑白之道 信息 铁路 原告 进站

自动化资产收集工具高级版v1.9 工具简介你还在用Excel进行目标管理吗？你还在为收集目标的信息而烦恼吗？你还在测试时不停地复制粘贴吗？那么来试试 domain hunter pro 吧！方便快捷的目标管理、自动化的信息收集、与bu... 2024-1-9 10:1:47 | 阅读: 38 | 收藏 | 黑白之道 安全 信息 burp 流量 浏览器

【Web实战】内存马系列 Netty/WebFlux 内存马 XXL-JOB EXECUTOR/Flink 对应的内存马https://forum.butian.net/share/2593作为Java内存马板块最冷门的一个，文章也不是很多，但实战中可能会遇到，... 2024-1-9 10:1:43 | 阅读: 7 | 收藏 | 黑白之道 netty searcher

2023年网络安全事件处罚盘点 《中华人民共和国网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，《中华人民共和国网络安全法》从2013年下半年提上日程，到2016年年底颁布，... 2024-1-9 10:1:39 | 阅读: 7 | 收藏 | 黑白之道 数据 安全 信息 网络 处以

一款功能强大的 IP 查询工具！开源，放心用 Fav-upFav-up 是一款功能强大的IP查询工具，该工具可以通过Shodan和Favicon（网站图标）来帮助研究人员查询目标服务或设备的真实IP地址。工具安装首先，该工具需要本地设备安装并部署... 2024-1-8 09:58:26 | 阅读: 18 | 收藏 | 黑白之道 favicon favup fav github pielco11

域渗透初级命令 大概总结了一些以前项目中遇到域时用到的初级命令，他山之石，可以攻玉，大家见笑。一、初始信息收集1.查看当前网络及域名ipconfig /all2.查看安装的软件版本wmic product get n... 2024-1-8 09:58:23 | 阅读: 12 | 收藏 | 黑白之道 信息 psloggedon netview 网络

在暗网中企业易发生重大数据泄露事件 每年都会有大量的公司发生重大数据泄露事件，例如2022年Medibank和Optus的数据泄露、Twitter的数据泄露、Uber和Rockstar的数据泄露以及2023年T-Mobile、MailC... 2024-1-8 09:58:18 | 阅读: 10 | 收藏 | 黑白之道 数据 攻击 网络 信息

涉网络安全域未开展安全评估等9项违规，中国银行被罚款430万元！|国家安全机关破获一起英国秘密情报局（MI6）间谍案； 涉网络安全域未开展安全评估等9项违规，中国银行被罚款430万元！1月5日，国家金融监督管理总局披露的罚单显示，中国银行因9项违法违规事实，被罚款430万元。金融监管总局作出处罚的时间为2023年12月... 2024-1-8 09:58:14 | 阅读: 4 | 收藏 | 黑白之道 安全 信息 mi6

你的BurpSuite该更新了 一. 简单回顾一下2023.5OrganizerNotesLive crawl paths view2023.6Custom scan checks 脚本地址：https://github.com/P... 2024-1-7 14:42:55 | 阅读: 38 | 收藏 | 黑白之道 burp 选项卡 unnamed windows

从Src到企业内网 No.1通过信息泄露爆破账号进入后台通过信息泄露完成对员工账号的收集随意输入账号密码后，用burp抓包发现大量信息泄露就能知道平台所有员工号 附带邮箱 姓名 地址 等信息现在肯定还达不到危害，还需要进... 2024-1-7 14:42:51 | 阅读: 23 | 收藏 | 黑白之道 账号 漏洞 爆破 安全 信息