中国信通院颁发数据库管理系统代码级高自研测评证书
2022年5月18日,中国信息通信研究院(以下简称“中国信通院”)颁发了首张“数据库管理系统-代码级高自研(卓越级)”测评证书。 数据库管理系统-代码级高自研(卓越级)证书目前,各行业在...
Read More链家IT管理员删除数据库,被判7年有期徒刑
Bleeping Computer 资讯网站披露,房地产经纪巨头链家的前数据库管理员韩冰,因登录公司系统并删除公司数据,被判处 7 年有期徒刑。2018 年 6 月,韩冰利用其管理权限和 "root "账...
Read More记一次Fastadmin后台getshell的渗透记录
1.信息搜集先来看看目标站点的各种信息后端PHP,前端使用layui,路由URL规则看起来像ThinkPHP,那自然想到的是ThinkPHP那些年爆发的命令执行了,准备一把梭!然而,尝试了一番,并没有历...
Read More【技术分享】聊一聊bypass information_schema
前言聊一聊mysql在被waf禁掉了information_schema库后还能有哪些利用思路,这个想法是前一段时间想到的,这次趁着安全客活动就在这里记录一下吧~# 实验环境 windows 2008 r2 p...
Read More为IDA架设私人lumen服务器
1、 准备win10、lumen windows安装包、PostgreSQL 10安装包、IDA 7.x。lumen windows安装包:到https://github.com/naim94a/lumen/releases/tag/v0.1.0 下载https://github.c...
Read More记一次堆叠注入拿shell的总结
本来对堆叠注入没啥了解,这次正巧碰到mssql的堆叠注入,正好加强一下对堆叠注入的理解。堆叠注入因为在sql查询语句中, 分号“;”代表查询语句的结束。所以在执行sql语句结尾分号...
Read More【渗透实例】SQL注入之ModSecurity防火墙绕过
转自: SecTr安全团队研究人员在对网站进行渗透测试时,发现该网站存在SQL注入点,可以绕过 “mod_security” 防火墙。ModSecurity是一个开源、跨平台的web应用程序防火墙(WAF),用...
Read More当SQL注入遇到诡异的编码问题
本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。前言最近给甲方爸爸做渗透测试时发现了一个诡异的SQL注...
Read More俄罗斯网络安全漏洞管理体系探析
网络安全漏洞(以下简称“漏洞”)作为信息通信网络中在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,随着经济社会信息化、网络化、数字化和智能化程度的加深,对国家网...
Read More2022 年最佳 SQL 注入检测工具
来源链接:https://www.wljslmz.cn/1109.htmlSQL 注入 (SQLi) 是一种可以访问敏感或私有数据的隐蔽攻击形式,它们最早是在上世纪末被发现的,尽管它们的年龄很大,但它们经常被用作...
Read More俄罗斯联邦储蓄银行、国防数据库数据遭 Anonymous 黑客组织泄露
在向俄罗斯宣布网络战仅几个小时后,黑客组织 Anonymous 就宣布取得重大胜利。他们设法破坏了俄罗斯国防部的数据库,并将其发布到网上供全世界查看。这些信息包括电子邮件、加...
Read More解码”十四五“规划中各领域数据库政策
数据库作为最为复杂、跨技术领域最多的关键基础软件,在数字经济时代其战略性、基础性的地位愈发凸显,是数字基础设施的坚实底座,是数字化转型的核心引擎,其产业规模潜力巨大。据...
Read MoreApache Cassandra数据库曝出高危级RCE安全漏洞
日前,JFrog的研究人员披露在Apache Cassandra数据库中发现高严重性安全漏洞(CVE-2021-44521),如果不加以解决,该漏洞可帮助恶意人员在受影响的计算设备上获得远程代码执行(RCE)权...
Read More可合理否认存在的秘密数据库
无论设备多安全,用户总是其中最薄弱的一环。在实际中攻击者可简单通过口头威胁或法庭传票要求用户交出秘密。绝大多数安全方案都设计强调数据的保密性,而不是让用户可以否认设...
Read More渗透实例之XPath注入攻击
概述XPath注入攻击是指利用XPath解析器的松散输入和容错特性,能够在URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是...
Read More数据库配置错误致使TransCredit 泄露50 万美国人和加拿大人的财务数据
本文转载自微信公众号「祺印说信安」,作者何威风。转载本文请联系祺印说信安公众号。 据国外安全媒体报道,一家位于佛罗里达州杰克逊维尔的交通运输行业商业信用报告机构Tran...
Read More《数据安全产品指南》系列之《数据库安全》篇
数据库安全格尔软件作为参编单位,全程参与框架研讨以及行业应用调研内容的编制,在编制过程中将自己多年来在数据安全领域的研发和实践经验进行了详细总结,为数据安全行业提供价...
Read More技术分享:如何使用NT哈希数据库快速破解MSCHAPv2-ChallengeResponses
技术介绍Assless CHAPs是一种针对MSCHAPv2/NTLMv1交换的快速NT哈希恢复技术,用以快速破解MSCHAPv2-Challenge或MSCHAPv2-Responses。这种技术需要使用到一个NT哈希数据库,接下...
Read More等保2.0 Oracle数据库测评
以下结果以Oracle 11g为例,通过PL/SQL进行管理,未进行任何配置、按照等保2.0标准,2021报告模板,三级系统要求进行测评。一、身份鉴别a) 应对登录的用户进行身份标识和鉴别,身份标...
Read More渗透测试之地基服务篇:服务攻防之数据库Mongodb(下)
系列文章专辑:渗透测试之地基篇简介渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油...
Read More渗透测试之地基服务篇:服务攻防之数据库Mongodb(上)
系列文章专辑:渗透测试之地基篇简介渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油...
Read More渗透测试之地基服务篇:服务攻防之数据库Redis(下)
系列文章专辑:渗透测试之地基篇简介渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油...
Read More渗透测试之地基服务篇:服务攻防之数据库Redis(上)
系列文章专辑:渗透测试之地基篇简介渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油...
Read More渗透测试之地基服务篇:服务攻防之数据库Oracle(下)
系列文章专辑:渗透测试之地基篇简介渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油...
Read More渗透测试之地基服务篇:服务攻防之数据库Oracle(上)
系列文章专辑:渗透测试之地基篇简介渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油...
Read More企业如何提高数据库安全?盘点这11种工具和技术
数据库承载着海量个人信息,甚至包含一些敏感信息。如何管理这些数据,对于不少企业来说,是一件棘手的事情。现在,数据库开发人员可以使用成熟的工具和技术保护数据信息。如何保护...
Read More渗透测试之地基服务篇:服务攻防之数据库Mssql(下)
系列文章专辑:渗透测试之地基篇简介渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油...
Read More渗透测试之地基服务篇:服务攻防之数据库Mssql(中)
系列文章专辑:渗透测试之地基篇简介渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油...
Read More渗透测试之地基服务篇:服务攻防之数据库Mssql(上)
系列文章专辑:渗透测试之地基篇简介渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油...
Read More