摘要:
云服务 云服务,顾名思义就是云上的服务,简单的来说就是在云厂商(例如 AWS、阿里云)那里买的服务。 目前国内云厂商有阿里云、腾讯云、华为云、天翼云、Ucloud、金山云等等,国外有亚马逊的 AWS、Google 的 GCP、微软的 Azure 等等。 oss存储桶 对象存储(Object-Base 阅读全文
摘要:
一、近源渗透 近源渗透测试是网络空间安全领域逐渐兴起的一种新的安全评估手段。 它是一种集常规网络攻防、物理接近、社会工程学及无线电通信攻防等能力于一体的高规格网络安全评估行动。网络安全评估小组在签订渗透测试授权协议后,通过乔装、社工等方式实地物理侵入企业办公区域,通过其内部各种潜在攻击面(如Wi-F 阅读全文
摘要:
文件上传的多种利用方式 文件上传漏洞除了可以通过绕过检测进行webshell的上传之外,还有多种其它的漏洞可以进行测试。 XSS漏洞 文件名造成的XSS 当上传任何文件时,文件名肯定是会反显示在网页上,可以使用 XSS Payload做文件名尝试将其上传到 Web 应用程序。这样就可能会触发XSS。 阅读全文
摘要:
车联网安全学习之TBOX 转载自:https://delikely.github.io/2021/08/15/TBOX-Main-Function/ Telematics BOX,简称 T-BOX,也称远程信息处理控制单元(Telematics Control Unit, TCU),集成GPS、外部 阅读全文
摘要:
车联网基础知识-汽车模块化 转载链接:https://delikely.github.io/2021/07/25/Automotive-Modular-Platform 模块化生产 汽车生产方式的 3 个阶段分别为流水线生产、平台化生产和模块化生产。 20 世纪 20 年代,福特公司率先采用了流水线 阅读全文
摘要:
IDOR漏洞 一、概述 IDOR,Insecure Direct Object reference,即"不安全的直接对象引用",场景为基于用户提供的输入对象进行访问时,未进行权限验证,是一类访问控制漏洞。在OWASP API安全前10名的API漏洞中排名第一。IDOR漏洞其实在越权(Broken A 阅读全文
摘要:
自动化漏洞挖掘 工具准备 vps一台 subfinder、oneforall【资产监控,收集域名】 httpx 【存活检测】 anew 【过滤重复】 nuclei、xray【漏洞扫描】 python3 【微信通知】 工具部署 下载工具 git clone https://github.com/pro 阅读全文
摘要:
一、域内提权漏洞 (CVE-2021-42287和CVE-2021-42278) 1.1 漏洞介绍 1.1.1 CVE-2021-42278 主机账户的名称尾部应该有一个 $(即 sAMAccountName 属性),但是域控对此属性并没有任何验证来确保是否带有 $,这允许攻击者模拟域控主机账户。 阅读全文
摘要:
CISP题目练习 知识点: 风险计算原理可以用下面的范式形式化地加以说明: 风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)) R表示安全风险计算函数 A表示资产 T表示威胁 V表示脆弱性 Ia表示安全事件所作用的资产价值 Va表示脆弱性严重程度 L表示威胁利用资产的脆弱性导致安全事件的 阅读全文
摘要:
配置 DNS over HTTPS阻止DNS污染 概念介绍 DOH简介 DNS(域名系统)的主要功能是将域名解析成IP地址,域名的解析工作由DNS服务器完成。从安全角度来看,域名解析的请求传输时通常不进行任何加密,这导致第三方能够很容易拦截用户的DNS,将用户的请求跳转到另一个地址,常见的攻击方 阅读全文