shiro漏洞原理以及检测key值原理
Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),Shiro 1.2.4以上版本官方移除了代码中的默认密钥,要求开发者自己设置,如果开发者没有设置,则默认动态生成,降低了固定密钥泄漏的风险。升级shiro版本并不能根本解决反序列化漏洞,代码复用会直接导致
[车联网安全自学篇] Android安全之移动安全测试指南「安全测试和SDLC」
[车联网安全自学篇] Android安全之移动安全测试指南「安全测试和SDLC」;对应用程序及其组件进行风险评估,以确定其风险状况。这些风险状况通常取决于组织的风险偏好和监管要求。风险评估还基于各种因素,包括应用程序是否可以通过互联网访问,以及被应用程序处理和存储的数据类型。所有类型的风险都必须被考
Shiro历史漏洞复现 - Shiro-550
Apache Shiro是一种功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理,可用于保护任何应用程序的安全。Shiro提供了应用程序安全性API来执行以下方面:1)身份验证:证明用户身份,通常称为用户"登录";2)授权:访问控制;3)密码术:保护或隐藏数据以防窥视;4)会
日常渗透刷洞的一些小工具
作为一个安服仔,日常渗透中,不同阶段所使用的工具是不同的,除开自动化一条龙的脚本之外,很多时候是需要反复的进入不同的文件夹运行不同的命令,每次使用工具的时候命令可能也是一样的,那么是否有种方式将常用的工具,常用的命令集成在一起,渗透的时候仅需给定目标,就可以调用工具自动执行命令。之前流行过的GUI_
渗透测试之暴力破解路由器wifi(加强安全意识)
本文通过自家路由器进行安全测试,加强wifi安全意识。
ToBeWritten之IoT Web、移动应用、设备硬件、无线电通信、IoV威胁建模
太多的企业试图在不了解他们的环境的情况下,跳入威胁狩猎的深渊(这是一个追逐松鼠和兔子,而且收效甚微的方法)。威胁狩猎最终是在一个环境中寻找未知因素的做法,因此,了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的为了理解环境,请确保你能获得尽可能多的信息,包括网络图、以前的事件
ToBeWritten之篡改固件
太多的企业试图在不了解他们的环境的情况下,跳入威胁狩猎的深渊(这是一个追逐松鼠和兔子,而且收效甚微的方法)。威胁狩猎最终是在一个环境中寻找未知因素的做法,因此,了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的为了理解环境,请确保你能获得尽可能多的信息,包括网络图、以前的事件
网络安全实验室2.基础关
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
Kali Linux渗透测试小实践——DNS欺骗
DNS欺骗也称为DNS劫持或重定向,是一种DNS攻击,其中DNS查询被错误地解析,从而意外地将用户重定向到恶意站点。为了进行攻击,犯罪者要么在用户计算机上安装恶意软件,接管路由器,要么拦截或破坏DNS通信。DNS劫持可用于欺骗在这种情况下,攻击者通常显示不需要的广告以产生收入;或用于网络钓鱼,显示用
wpscan工具简介与使用
今天继续给大家介绍渗透测试相关知识,本文主要内容是wpscan工具简介与使用。一、wpscan工具简介二、wpscan工具使用
Windows&Linux文件传输方式总结
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。在渗透过程中,通常会需要向目标主机传送一些文件,来达到权限提升、权限维持等目的,本篇文章主要介绍一些windows和Linux下常用的文件传输方式。Wind
2023年贵州省职业技能大赛“网络安全” 项目比赛任务书
3.为防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许3个包传入,并将瞬间流量设定为一次最多处理6个数据包(超过上限的网络数据包将丢弃不予处理);c.设置root用户的计划任务。a.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地
给你一个登录页面,你该如何做渗透测试呢?
当遇到只有一个登录页面的时候该如何做渗透测试呢?
2023年最新网络安全渗透测试工程师面试题合集,建议收藏!
2023年最新网络安全渗透测试工程师面试题合集,建议收藏!
26岁转行网络安全,成功上岸安全开发!
26岁转行网络安全,我是如何上岸安全开发的?
ToBeWritten之固件威胁建模
太多的企业试图在不了解他们的环境的情况下,跳入威胁狩猎的深渊(这是一个追逐松鼠和兔子,而且收效甚微的方法)。威胁狩猎最终是在一个环境中寻找未知因素的做法,因此,了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的为了理解环境,请确保你能获得尽可能多的信息,包括网络图、以前的事件
seeker+ngrok 钓鱼获取目标位置
钓鱼获取目标地理位置
ToBeWritten之Android/物联网各层防御措施
太多的企业试图在不了解他们的环境的情况下,跳入威胁狩猎的深渊(这是一个追逐松鼠和兔子,而且收效甚微的方法)。威胁狩猎最终是在一个环境中寻找未知因素的做法,因此,了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的为了理解环境,请确保你能获得尽可能多的信息,包括网络图、以前的事件
ToBeWritten之理解嵌入式Web HTTP协议
太多的企业试图在不了解他们的环境的情况下,跳入威胁狩猎的深渊(这是一个追逐松鼠和兔子,而且收效甚微的方法)。威胁狩猎最终是在一个环境中寻找未知因素的做法,因此,了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的为了理解环境,请确保你能获得尽可能多的信息,包括网络图、以前的事件
ToBeWritten之嵌入式操作系统
太多的企业试图在不了解他们的环境的情况下,跳入威胁狩猎的深渊(这是一个追逐松鼠和兔子,而且收效甚微的方法)。威胁狩猎最终是在一个环境中寻找未知因素的做法,因此,了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的为了理解环境,请确保你能获得尽可能多的信息,包括网络图、以前的事件