摘要:
随着越来越多的企业将业务迁移到云计算环境,寻求攻击的网络犯罪分子也是如此。而了解最新的攻击技术可以帮助企业更好地应对未来的威胁。 安全厂商WhiteHat Security公司首席技术官Anthony Bettini在日前召开的RSA安全大会上的一个小组讨论中说:“每当看到技术变革时,人们就会看到网 阅读全文
摘要:
最近在甲方驻场,工作中用扫描器经常能扫到内网的主机存在openssh的高危漏洞,发邮件给业务接口人,人家不会,抱着电脑来问我,之前也没有具体修复的经验,正好这次学习尝试一下 由于系统都是使用ssh登陆的,要升级ssh,怕升级失败导致服务挂掉,机器登不上。因此在升级之前先把telnet开起来。 ### 阅读全文
摘要:
扫描公司资产的时候扫描器爆出来的,验证一下,省的搭靶场了 ###扫描器输出(包含漏洞原理、修复方法了) ###测试验证 使用NoSQLBooster:https://www.nosqlbooster.com/ 输入目标IP,确认端口(默认27017),不需要密码,测试连接 用nmap也可以检测此漏洞 阅读全文
摘要:
用Nessus扫内网资产,爆出NFS Exported Share Information Disclosure的紧急漏洞,复现一下 nessus报告如下: 漏洞验证: 有SVN,也有数据库数据,真丰富……多大的企业,外强中干,进了内网就可以横着走 漏洞原理: 空了再研究吧 阅读全文
摘要:
转载于 https://mp.weixin.qq.com/s/l0D7_gUzv7hiLez8UyHe3A 21端口渗透剖析 FTP通常用作对远程服务器进行管理,典型应用就是对web系统进行管理。一旦FTP密码泄露就直接威胁web系统安全,甚至黑客通过提权可以直接控制服务器。这里剖析渗透FTP服务器 阅读全文
摘要:
转载于 https://mp.weixin.qq.com/s/SrfPXdbiBe7rrPdEn9rXSg 作者:金龙 0x01 概述 相信大家对流量劫持都很痛心,明明要下载游戏盒子,结果变为XX助手或者是葫芦娃,但是这种光明正大的流氓行为似乎是个烂摊子几乎没人管或者管不着,而且像蟑螂一样消灭不尽。 阅读全文
摘要:
转载于https://mp.weixin.qq.com/s/hDcGRTZxUh7W7KAc7yeGJA 0x01 任意文件读取漏洞是怎么产生的 一些网站由于业务需求,可能提供文件查看或下载功能。如果对用户查看或下载的文件不做限制,则恶意用户能够查看或下载任意文件,可以是源代码文件、敏感文件等。 0 阅读全文
摘要:
转载于https://www.jianshu.com/p/8d8cf34a9aa0 首先,要明白一个概念:访问结构。 访问架构(access structure):访问结构是安全系统研究的术语,系统的访问结构是指被授权的集合的结构。 CP ABE(ciphertext policy attribu 阅读全文
摘要:
#! /bin/bash #网站目录监控脚本 #CTF赛用 #功能如下: #1、网站根目录备份。 #2、监控网站目录文件新增、删除、修改,并且恢复,记录日志,支持多级目录的恢复,支持隐藏文件的新增修改和删除。 #不足点: #1、脚本执行后关停,再次重启会屏显报错,且无法建立日志,但不影响网站监控恢复 阅读全文
该文被密码保护。 阅读全文