Aggregator

Attackers are targeting financial services organizations with brute force, credential stuffing, and DoS attacks. See how you can mitigate the risks.

创新工场CTO王咏刚老师有关团队管理的精彩分享

记录使用SonarQube实现DevSecOps中代码扫描的经历

Adversaries are leveraging widely exposed clear text credentials to gain access to sensitive information. At times the term “harvesting credentials” is used when red teamers emulate these attacks - which is something that appears to be more opportunistic and I would propose that security teams start to actively hunt for credential exposure that can put their organization at risk – in case you are not yet doing that. Actively hunting for credential exposure The idea of credential hunting is targeted and focused, leveraging intelligence about systems and combing it with powerful search techniques to identify exposure.

在信息收集过程中，会遇到使用cdn、云waf等的子域名。这样在做端口扫描时就会出现大量开放的端口。这就会导致扫描时间变长，多出来许多无用的信息。这里收集了一些，大家可以用到自己的扫描器中或开源程序中，遇到域名cname使用这些域名的时候可以跳过端口检查，节省时间。

以下列表主要收集了一些大型互联网企业（腾讯、百度、滴滴、字节跳动、360、阿里巴巴、美团、京东等），然后经过人工整理出来，有遗漏在所难免，欢迎大家补充。

w.alikunlun.com
wsglb0.com
w.kunlunpi.com
elb.amazonaws.com
wswebpic.com
mig.tencent-cloud.net
cloud.tc.qq.com
qcloudcjgj.com
pop3.mxhichina.com

0x01 概述AES的全称是Advanced Encryption Standard，意思是高级加密标准。本文主要是练习Python实现AES加解密，没有技术含量，大牛请绕行。

大数据风控基本功，越扎实，越踏实！

有了前面五篇分享，想必各位读者已经掌握了一些必要的技能，本篇及之后两篇以果加门锁为例，介绍如何对嵌入式设备的固件进行分析。

0x00 前言

把之前写的一个笔记翻出来，思路比较简单，所以也就不额外的添加内容直接发出来了。

最近在

New Mirai variant references the COVID-19 pandemic with a filename change and two targets: Huawei routers and TeamSpeak.

工作中总结的工程师和产品经理的角色异同

0x01 前言

在一次授权测试中对某网站进行测试时，marry大佬发现了一个网站的备份文件，里面有网站源代码和数据库备份等。根据网站信息和代码都可以发现该系统采用的是微擎cms，利用数据库备份中的用户信息解密后可以登录系统，接下来要看是否可以获取webshell。

ASM也是字节码编辑库，如果我们的目的仅仅是为目标类添加某些功能，也可以考虑动态代理，但是动态代理是面向接口的，因为proxy.newinstance实际上是对某个接口定义一个invocaionHandler，那么这样限制就比较大，并且对代理的每一次函数调用都将被invocationHandler处

修订了部分问题和完善了一些逻辑，立足于甲方安全职业的发展路径。

Ransomware is alive and kicking, and local governments seem to be getting the worst of it. How can organisations best secure themselves against this threat? F5 Labs' David Warburton discusses the issue with ITProPortal.

这一天小B正在晒太阳，突然接到了老板的电话，要求对M公司进行一次内部全员邮件钓⻥测试，试图找出那些安全意识薄弱的员工。根据老板的要求，小B开始了这次的有趣的钓⻥之旅。

各公司安全招人用尽奇招，出卖技术带招聘，顶着大油头上招聘直播，软硬兼施请小姐姐为招聘代言的...这背后是什么原因？今天来聊聊这个话题，还有限时活动哦！

Cobalt Strike 上线微信提醒

来源:http://www.jackson-t.ca/runtime-exec-payloads.html 扣一下html代码，保存在本地方便查找，也方便增加。 <!DOCTYPE html> <html> <head> <title>java runtime exec usage...</titl