安全

  • Google Authenticator碰撞

    About Goole Authenticator 为增强Google网站账户的安全性,谷歌开发了一款名为Google Authenticator的动态口令验证器。此功能需要服务器端和客户端的支持。服务器负责密钥的生成及验证,客户端实则为动态口令生成器。 Google Authenticator常被用于二次验证的位置,并且因为不依赖任何第三方,所以Googl…

    2021-04-11
    0 5 0
  • SQL注入实战篇

    你是否正在收集各类网安网安知识学习,合天网安实验室为你总结了1300+网安技能任你学,点击获取免费靶场>> 今天要介绍的是SQL注入实验。SQL注入攻击的学习,我们更多的目的是为了学习攻击技术和防范策略,而不是刻意去攻击数据库。 首先我们先进入实验地址《SQL 注入》。 SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,实质就是将恶…

    2021-04-09
    0 5 0
  • 【HTB系列】靶机Vault的渗透测试详解

    本文作者:是大方子(Ms08067实验室核心成员) Kali: 10.10.14.213 靶机地址:10.10.10.109 先用nmap探测靶机 | nmap -sC -sT -sV 10.10.10.109 | 扫描结果如下: 看看80端口有什么东西 我们用gobuster进行探测下 | gobuster -u http://10.10.10.109 -…

    2021-04-07
    0 6 0
  • 【HTB系列】靶机Teacher的渗透测试详解

    作者:是大方子(Ms08067实验室核心) Kali: 10.10.14.50 靶机地址:10.10.10.153 先用nmap 对靶机进行扫描 | nmap -sC -sV -sT 10.10.10.153 | 只开启了80端口,网页内容如下 一个静态的网页,还有一些其他的页面Courses,Students等等 检查下网页的源代码,在GALLERY页面发…

    2021-04-06
    0 6 0
  • 我们能从Let’s Encrypt的成功学到什么?

    Let’s Encrypt 大家应该已经不陌生了,根据其官网的统计,活跃SSL证书数量接近1.6亿张,每日签发SSL证书最高达到209万张,2.42亿个网站都在使用其SSL 证书,全球市场份额超过65%,这个成绩只用了5年时间。我们能从其获得的巨大成功中学到什么?可能每个人都有自己的答案,我愿意在此同大家分享一下我的看法,供大家参考。 为了回答这个问题,这就…

    2021-04-02
    0 11 0
  • 研究者发现新型“影子攻击”:可隐藏替换篡改PDF内容

    据The Hacker News 2月23日报道,研究人员最新展示了一类新型PDF文档攻击,攻击者可以在保证文档数字签名有效的前提下,进行隐藏、篡改或替换文档内容等恶意操作,常见的操作有替换收款人、付款订单或更改合同条款等。 该攻击技术被德国波鸿鲁尔大学的学者称为“影子攻击”,它的主要攻击原理是“视图层”概念,即在PDF文档中重叠的不同内容集。它利用“PDF…

    2021-04-01
    0 16 0
  • 安全事件分析之SQL盲注溯源

    1. 概述 以下内容为一个CTF题引出的内容,经常玩CTF的大佬们可以直接跳过。 偶然的机会朋友发我一个日志文件,让我看一下服务器access.log文件,说这个是一个CTF的题目,就给了这么一个access文件,然后让找flag,由于自己属于专业划水的,CTF基本没碰过,也不知道怎么弄就试着分析了一下。 打开日志文件文件里面内容基本长这个样子。 2. 日志…

    2021-03-29
    0 9 0
  • 记一次大战低频CC的真实记录

    前言 我们服务器经历了长时间低频CC的困局,CPU居高不下,历经周折,终于找到了解决方法,写点东西出来给大家分享一下吧。 一、阿里云WAF流量清洗 飞泊云停是一款基于微信支付的智能停车管家,公司是智慧城市倡导者,让出行更便捷,让停车更简单,在行业内有很高的知名度和口碑。同时,公司非常注重网络安全,购买了CDN和最高防护级别的阿里云盾web应用防火墙作为第一道…

    2021-03-26
    0 12 0
  • 一个挖xss洞的冷门思路-奇安信为例doge

    一、背景 昨天我在家有点无聊,就打算挖下补天的专属src,大家都有点职业病,见到框框就会插个” ‘ “和” 翻源码的时候,我康到了一行js代码,便有了这个内容。 下面我将写的短小精悍。 PS:本文仅用于技术研究与讨论,严禁用于非法用途,违者后果自负 二、简要原理 假设你正在挖A网站的漏洞(假设你在挖某鹅厂主站的…

    2021-03-24
    0 22 0
  • 【HTB靶场系列】靶机Carrier的渗透测试

    Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台。它能帮助你提升渗透测试技能和黑盒测试技能,它包含了一些不断更新的挑战,其中有模拟真实世界场景,也有倾向于CTF风格的挑战。 https://www.hackthebox.eu/ 平台上有很多靶机,从易到难,黑客每入侵一台机器都会获得相应积分,通过积分排名设有名人堂。今天要实验的是靶机Carr…

    2021-03-22
    0 17 0