记一次对某站点详细的渗透测试 0x01 前言最近在尝试冲刺排名，恰好本次渗透中的东西可以拿来做一些分享，希望可以给大家提供一些思路，有什么不对不足的地方，希望各位师傅斧正，本文所涉及的漏洞均已提交至src... 2022-7-23 12:3:43 | 阅读: 13 | 收藏 | 黑白之道 漏洞 数据 信息 绕过 payload

容易被忽视的5个安全环节，比想象中的更危险！ 随着对网络安全工作的重视，很多组织的安全实践正变得越来越复杂，这有利也有弊。由于许多新技术趋势需要关注，比如云计算应用、物联网系统和大数据应用等，会占用安全团队很多的精力和时... 2022-7-23 12:3:41 | 阅读: 9 | 收藏 | 黑白之道 安全 网络 加密 数据 钓鱼

男子炒币被木马盗走 一下损失3800多万元；警方提醒！朋友圈不要再晒5种照片了!连钥匙都不行！ 男子炒币被木马盗走 一下损失3800多万元7月20日，宁波市公安局官网通报一起新型黑客案件，宁波一市民大量虚拟币被黑客盗窃。根据通报，今年3月7日，宁波的徐先生报案称：其手机... 2022-7-23 12:3:39 | 阅读: 7 | 收藏 | 黑白之道 虚拟 黑客 信息 宁波 公安

技术干货 | 简单的冰蝎流量魔改 前言感觉冰蝎流量魔改的文章比较少，我自己琢磨了一下，感觉简单地做个流量魔改并不复杂，发出来供大家参考。我自己是个Java笨比，有问题的地方欢迎大佬们评论区指正共同学习。正文0... 2022-7-22 10:13:8 | 阅读: 15 | 收藏 | 黑白之道 加密 payload 流量 crypt

实战|记一次iis+aspx环境下利用http参数污染绕过waf 环境介绍Server: Microsoft-IIS/10.0X-AspNet-Version: 4.0.waf：某不知名waf漏洞点情况新建模板处，可以直接写入内容到文件：但... 2022-7-22 10:13:5 | 阅读: 15 | 收藏 | 黑白之道 菜刀 拦截 afe jscript 安全

畅销全球的GPS车载追踪器曝出“灾难性”漏洞 近日，安全公司BitSight宣称在中国产的GPS追踪器Micodus MV720中发现了六个漏洞，MV720是一款畅销全球的售价约20美元的GPS车载定位追踪器。BitSi... 2022-7-22 10:13:2 | 阅读: 14 | 收藏 | 黑白之道 漏洞 bitsight gps micodus 安全

滴滴事件回溯|滴滴存在16项违法事实，被罚80.26亿元； 根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实，滴滴全球股份有限公司违反《网络安全法》《数据安全法》《... 2022-7-22 10:12:58 | 阅读: 12 | 收藏 | 黑白之道 信息 安全 亿条 网络

流量分析与日志溯源实战技巧 下面是我结合网上论坛以及个人的一些想法针对日志分析溯源的个人理解现阶段大部分企业都会上日志审计设备，在配上流量分光，还有各类IDS、WAF等设备日志，对安全溯源分析十分方便，... 2022-7-21 09:55:4 | 阅读: 10 | 收藏 | 黑白之道 攻击 病毒 powershell 溯源

实战 | 记一次HOSTS碰撞突破边界 0x00 引言在渗透测试中，搜集了很多IP资产，端口也开放了WEB服务，但打开总是403 404 400错误，扫目录也扫不到东西。这时候可以尝试利用HOSTS碰撞技术突破其边... 2022-7-21 09:55:0 | 阅读: 28 | 收藏 | 黑白之道 安全 渗透 oneforall burp github

Log4Shell漏洞的长期影响 Log4Shell漏洞(CVE-2021-44228)早在6个多月前就被披露了，虽然已经出现了很多防御方法。但该漏洞的影响至今都在。CISA最近发出警告，攻击者正在使用Log... 2022-7-21 09:54:56 | 阅读: 9 | 收藏 | 黑白之道 攻击 漏洞 jndi 远程

新一代子域名收集工具！ 项目描述Sylas(塞拉斯)是我很喜欢的一款游戏《英雄联盟》(League of Legends)里的英雄。他在面板数值已经足够可观的情况下，其终极技能其人之道又能窃取其他英... 2022-7-20 10:6:0 | 阅读: 12 | 收藏 | 黑白之道 数据 数据库 bscan 拉斯 sylas

实战|一次绕过waf进行xss的经历 今天室友遇到一个好玩的网站，下面是一些尝试绕过Waf进行XSS的记录。首先该网站没有对左右尖号和单双引号做任何过滤或转义。且有未知的waf或者其他阻止恶意访问的手段。首先我的... 2022-7-20 10:5:58 | 阅读: 11 | 收藏 | 黑白之道 绕过 onxx onmouseover x22 x72

全球工控系统面临“木马危机” 继今年6月份Forescout在“冰瀑漏洞”工控安全报告中披露了10家OT供应商产品中的56个冰瀑漏洞后，工控安全态势急剧恶化，一种伪装成工控系统密码找回工具的木马软件正在“... 2022-7-20 10:5:56 | 阅读: 8 | 收藏 | 黑白之道 破解 漏洞 plc dragos

黑客狱中相识，出狱后联手作案，五天敛财200万；App Store存在大量欺诈应用 数百万iOS用户受影响； 黑客狱中相识，出狱后联手作案近日，安徽铜陵辖区内一家公司的后台遭到了黑客入侵，在短短五天的时间内损失了200万。由于涉案金额巨大，警方立刻针对这起案件展开了调查。根据各种缜密... 2022-7-20 10:5:54 | 阅读: 7 | 收藏 | 黑白之道 欺诈 黑客 出狱 监狱 苹果

一键扫描工具 -- Suture_Box 一、项目介绍集合渗透测试常用工具对目标进行一键扫描。包含多个github优秀的开源工具，只需传入目标，即可启动收集的工具同时对目标进行扫描，将结果统一格式化输出。现有两个模块... 2022-7-19 09:52:7 | 阅读: 17 | 收藏 | 黑白之道 vulscan suturebox 漏洞 安全 模块

【红蓝对抗】一次直达工控区的"简单"渗透 好久没写实战文章了，过年过的手都麻了，一天不渗透我是浑身难受。正想找几个站泄泄火呢。刚好就接到了领导的任务，需要我去参加某集团组织的攻防演练。过程即简单也曲折，好在成功绕过w... 2022-7-19 09:52:4 | 阅读: 10 | 收藏 | 黑白之道 绕过 信息 拦截 免杀 小马

银行人脸识别系统被攻破：非本人操作，卡里的钱被转走；B站：将逐步开放“展示账号 IP 属地”功能 银行人脸识别系统被攻破：非本人操作，卡里的钱被转走；据中国新闻周刊微信公众号7月18日消息，要想从交通银行卡中转账，需要用户在手机银行App上进行人脸识别，并进行短信验证。李... 2022-7-19 09:52:0 | 阅读: 9 | 收藏 | 黑白之道 属地 账号 信息 上线 防治

什么是远程代码执行漏洞? 什么是远程代码执行攻击?RCE 攻击包括通过使用系统某个级别的漏洞在系统中注入和执行恶意代码。这允许攻击者在系统中执行命令、窃取、损坏、加密数据等。RCE 攻击有多危险?RC... 2022-7-18 10:10:10 | 阅读: 11 | 收藏 | 黑白之道 攻击 漏洞 攻击者 缓冲区 远程

记一次前端安全测试 0x01 前言遇到一个传输过程数据被加密的网站，无法重放改包，前端也做了较为严格的限制，测试一度陷入僵局，最终从js找到突破点拿到web后台管理员权限0x02 过程网站前端操... 2022-7-18 10:10:8 | 阅读: 8 | 收藏 | 黑白之道 加密 数据 安全 泄漏 信息

国务院：年内将制定《网络数据安全管理条例》 网络数据安全管理条例被列入国务院2022年度立法计划7月14日，据中国政府网消息，国务院办公厅发布《国务院2022年度立法工作计划》。南都记者注意到，在拟制定、修订行政法规中... 2022-7-18 10:10:6 | 阅读: 6 | 收藏 | 黑白之道 网络 未成年 安全