URL重定向
1. URL重定向1.1 什么是URL重定向url重定向漏洞也称url任意跳转漏洞,网站信任了用户的输入导致恶意攻击,url重定向主要用来钓鱼,比如url跳转中最常见的跳转在登陆口,支付口,也就...
Read More在线社交网络 (OSN, Online Social Network) 会吸引攻击者通过滥用帐户(Abusive Account)进行恶意活动。作为反制措施,OSN 经常使用机器学习 (ML, Machine Learning) 方法部署...
Read More简介.NET中序列化是将对象状态转换为可保持或传输的形式的过程。序列化的补集是反序列化,后者将流转换为对象。这两个过程一起保证能够存储和传输数据。.NET 具有以下三种序...
Read More2021年6月25日引言2021年5月12日颁布的14028号行政命令《改善国家网络安全》要求国家标准技术研究院(NIST)发布“关键软件”一词的定义。在本命令颁布45天内,商务部长(通过NIST...
Read More一、事件发生背景办事处部署的TAR产生挖矿告警,如下图(1)TAR挖矿告警所示。告警显示是售前用来存储文件的服务器(IP:10.33.15.240)中了CoinMiner挖矿病毒。图(1)TAR挖矿告警二、初步...
Read More情报背景 Prevailion的威胁情报团队近日发现了内部代号为”DarkWatchman”的Javascript远程访问木马,本文将对其中通过CSC编译实现动态更新、注册表数据存储与控制、DGA域生...
Read MoreApp之个人隐私检测一份报告某APP为例系统类型:AndroidApp版本:V1.6.8一、 评估单位信息机构名称 地址 邮编 联系人 E-mail 电话 传真 评估组长: 评估成员: 复核人员...
Read More背景介绍认知是人们思维的工具。人们通常根据自己的所见所闻作出判断并付诸行动。处于互联网信息化高速发展的今天,人们获取信息和传播信息的速度是以往不能比拟的,通过互联网...
Read More在学习SSL卸载之前,我们应该了解一些基本知识。一.SSL延迟互联网迅猛发展的背后隐藏着许多安全隐患,对此,各种加密技术应运而生。SSL(Secure Socket Layer安全套接层)协议便是一种...
Read More一、背景 近日乌克兰局势不断升级,直到今天,发展成为全面的战争行为,除了目前牵动世界神经的战争局势发展态势,还有伴随在战争之下频繁的网络战争。网络攻击一直伴随着...
Read More近日,国家互联网信息办公室(“国家网信办”)发布《网络数据安全管理条例 (征求意见稿)》(“《条例》”)。《条例》以《中华人民共和国网络安全法》、《中华人民共和国数据安全法》...
Read More背景介绍网络防御传统上侧重于使用纵深防御技术来抵挡攻击者访问组织的网络或关键网络资产。如果,当一名防御者(defenders)引入了欺骗性的工件(artifacts)和系统,这会立刻增加攻击...
Read More网络战已经发展成与海、陆、空、天等领域具有相同的领域地位,也被列为“第五战场”。2022年2月24日(北京时间),俄罗斯总统普京宣布在乌克兰东部的顿巴斯地区进行特别军事行动。...
Read More《中华人民共和国个人信息保护法》规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益...
Read More近日,360安全大脑监测发现一种具有蠕虫性质的新型勒索病毒Coffee存在大范围传播的风险。针对该勒索病毒传播事件,360安全分析团队(CCTGA勒索软件防范应对工作组成员)展开了详尽...
Read More工具:奇安信网络空间测绘——鹰图平台(简称HUNTER)地址:https://hunter.qianxin.com目录0x01背景介绍.........................................................................
Read More一、引言在渗透测试、漏洞挖掘或安全研究的过程中,我们会遇到很多无回显的命令执行点。面对这些无回显的命令执行点,我们很难获取命令执行结果,甚至无法判断命令是否执行成功。...
Read More一、 概述隐蔽信道是指允许进程以危害系统安全策略的方式传输倍息的通信通道。隐蔽信道在公开的信道掩盖下,采用特殊的编码方式,传输非法或私密的信息而不被人发现。...
Read More前言:本文以攻击者的视角,去看待攻击者将是如何进行钓鱼攻击。有人可能会问,为什么是复盘?而不是钓鱼攻击研究,其实无论是实操还是理论都占一半,有很多小伙伴可能不太知道钓鱼是什...
Read More概述在 Real World CTF 4th 中,我很荣幸再次作为出题人参与出题。我出了一道名叫 Desperate Cat 的题目,考察的是在严苛条件下 Tomcat Web 目录写文件 getshell 的利用。Despe...
Read More情报背景近期sophos的研究人员发现了名为AvosLocker的新勒索软件团伙。攻击者利用安全产品无法运行于安全模式下的防护缺失规避检测,并利用例外配置保持对目标的远程控制能力...
Read More背景微软的 AD FS(联合身份验证) 服务是一种跨边界的身份识别认证服务,旨在让 AD 域外的服务使用 AD 域账户进行认证,可以在多个不同实体或组织之间实现 SSO(单点登录),经常用来完...
Read More本次测评以mysql 5.7.19 搭建在Win 10 专业版上,使用navicat 15进行管理。一、身份鉴别a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有...
Read More在移动互联网已经相当普及的今天,家用Wifi已经成为居家必备设备了,但你有没有考虑过这样一个问题,“我家的Wifi安全么,有没有可能被别人蹭网,或者被黑客登录进来,窃取数据?”下面就...
Read More早在chrome一次更新修复该漏洞后就关注到了这个漏洞,不过当时是一个研究者一次提交了两个漏洞,还都是21000美元的高悬赏,我当时只注意到了CVE-2021-30598的两次patch,看到其中一...
Read More前言CVE-2021-34486是在ETW请求更新周期性捕获中的UAF漏洞,可以通过分配可控的缓冲区,释放,二次使用该缓冲区来执行任意代码。01 影响版本https://msrc.microsoft.com/update-...
Read More一、SASE到底是什么——一种“网络+安全”的全新架构。二、SASE有哪些应用场景? 了解更多深信服SASE本文为深信服科技原创内容,未经允许不得转载。...
Read More背景LEE CHRISTENSEN和WILL SCHROEDER于今年9月30日在Black Hat会议上进行了主题为“CERTIFIED PRE-OWNED: ABUSING ACTIVE DIRECTORY CERTIFICATE SERVICES”的演讲,首次在...
Read More