实战|2023HVV反制蜜罐上线提醒实例以及思考
好消息:挖到漏洞了。坏消息:是蜜罐。
Aggregator
【中奖名单】《白帽子讲Web安全》(第2版)书籍中奖名单公布啦!
1 year 5 months ago
恭喜《白帽子讲Web安全》(第2版)抽奖活动获奖的一位同学鼓掌!!没有中奖的小伙伴也不要伤心哦!!后期我们还
腾讯安全科恩实验室2023社会招聘启动,开放三大社招岗位
1 year 5 months ago
腾讯安全科恩实验室三大社招岗位等你加入!岗位包括:安全开发工程师(溯源方向)、威胁情报安全研究员、Web安全工程师。
腾讯安全科恩实验室2024校园招聘启动,开放六大校招岗位
1 year 5 months ago
六大校招岗位等你加入!面向2023及2024届应届毕业生,岗位包括:威胁情报安全研究员、安全算法研究员、二进制安全研究员、Web安全工程师、恶意代码检测研发工程师(病毒、APT等)、安全开发工程师(溯源方向)
玄 - 利用DLL通知回调函数注入shellcode(上) - zha0gongz1
1 year 5 months ago
区别传统进程注入执行恶意代码,新技术学习记录 - 在远程目标进程中利用DLL通知回调机制执行shellcode
zha0gongz1
Akamai Develops Real-Time Detections for DNS Exfiltration
1 year 5 months ago
Yarin Ozery
angr symbion
1 year 5 months ago
angr symbion
blackhat 2023 USA 和 defcon 31 议题总结
1 year 5 months ago
昨天发了一个blackhat 2023 USA议题总结,但是公众号没有完整显示。今天将defcon 31的议题也总结了下,发到我的博客上了,可以看到完整版。
defcon 31 议题总结 https://x.hacking8.com/post-458.html
blackhat 2023 USA 议题总结.md https://x.hacking8.com/post-457.html
通过360全网资产测绘产品在特殊时期寻找特定资产服务
1 year 5 months ago
进群+V:quake_360
【漏洞预警】Ivanti Avalanche多个高危漏洞漏洞威胁通告
1 year 5 months ago
1. 通告信息近日,安识科技A-Team团队监测到Ivanti Avalanche中修复了多个安全漏洞,这些
数据安全相关法规学习笔记
1 year 5 months ago
大致学习一下合规方面的知识
NCSC’s partnership with industry wins Spirit of Service – Service Excellence Award and Prime Minister’s Award
1 year 5 months ago
The GCSB's National Cyber Security Centre (NCSC) has been awarded the Public Service Commission’s Spirit of Service – Te Tohu mō te Ratonga Whakahirahire, Service Excellence Award, and the overall Prime Minister’s Award for its collaboration with industry partners to strengthen New Zealand’s cyber defence capabilities.
Redefining Threat Intelligence for MSSPs & MDRs
1 year 5 months ago
The Managed Security Service Provider (MSSP) and Managed Detection and Response (MDR) markets continue to face significant challenges in handling a large number of security alerts and vulnerabilities across multiple client environments. In this blog post you'll discover how GreyNoise helps these organizations reduce costs, improve scalability, and beat the adversary.
Akamai Defends Against the OWASP Top 10 API Security Risks
1 year 5 months ago
Abigail Ojeda
PeiQi文库 - Github更新 (7)
1 year 5 months ago
PeiQi文库 - Github更新 (7)
8月19日开幕!KCon 2023,不容错过的网安技术交流大会
1 year 5 months ago
“归源·智变” KCon 2023举办时间:2023年8月19日-20日举办地点:北京环球贸易中心·会议中心
原创 | 2023年第八届上海市大学生网络安全大赛 / 磐石行动 漏洞挖掘 Workthrough(上)
1 year 5 months ago
过云锁注入方法
1 year 5 months ago
环境:windserver2008 + mysql+php
SQL语句拦截图:
http://www.test123.com/article.php?id=1%20union%20select%201,2,3
SQL绕过语句图:
http://www.test123.com/article.php?id=-1/*!36000union*//*!36000distinct*//*!36000select*/1,2,user()
1 个帖子 - 1 位参与者
t1st
一次非常规功能点的存储XSS
1 year 5 months ago
一般XSS点是在留言、新增项等等地方,一般也都需要登录
本文记录的试一次渗透中碰到的非常规的XSS功能点,无需登录
所以也可以说是未授权XSS,并且直取admin
漏洞功能点位于【系统日志】处
此处记录并审计登录行为
发现用户在登录时,用户名、IP等信息会被记录在此处,用户名可以根据POST请求包中的【username】字段进行改动,但是在测试过程中发现系统对该字段有进行特殊字符的限制,所以无法实现XSS
但是后面发现对IP字段的输入却没有进行限制,在POST请求头中加入【x-forwarded-for】就可以任意自定义修改此处对应的【操作IP】
插入成功,管理员来到审核页面的时候就会触发XSS
这个系统对所有插入的数据几乎都做了编码、限制、替换,找了好久才找到这个位置
所以测试或者说漏洞修复过程中,除了注意用户GET、POST的数据外,还需注意请求Header头里面的参数
1 个帖子 - 1 位参与者
华辉弘
blackhat 2023 USA 议题总结.md
1 year 5 months ago
使用ChatGPT对blackhat 2023 USA每个议题做了内容摘要提取,可访问https://www