安全研究
一次 SAAS服务商的XSS漏洞思路分享
闲下来重新写一次,当时写的太水被批评了。到现在我也觉得是挺有意思的SAAS渗透思路。这是我第一次碰到SAAS服务商做的渗透测试,如果我分享的内容落伍了请轻喷。 首先介绍一下SAAS,SaaS是Software-as-a-Service(软件即服务)的首字母缩写,他是21世纪兴起的一种与互联网深度融合的新型模式。SaaS
分享一个国外权威网站证书颁发机构和证书指纹搜索网站 crt.sh
这个网站提供的是监控和理解公共SSL证书的基础工具之一, 是由Sectigo自己的Rob Stradling crt.sh,创建和维护。在SSL行业观察者中非常受欢迎。来了解一下这个公司 - Sectigo是数字身份解决方案的领先网络安全提供商,包括TLS / SSL证书,DevOps,物联网和企业级PKI管理,以及多层Web安全。Sectigo 是世
安全服务和安全产品方向讨论
各位大佬,有没有什么现在比较新的安全产品或是安全服务的孵化思路。我先说几个。1.API接口安全检测:注于API资产识别、防护控制、威胁分析以及开发安全,目的是降低针对API特有的安全漏洞风险所带来的损失。2.云原生安全(容器安全、云态势管理):护从系统代码到业务开展的整个应用程序开发生命周期安
收集了网络安全面试题目和相关答案
原来的吐司号成僵尸号了,感觉练费了,又申请了一个新号,哈哈。开新号发个新帖,因为最近也在张罗招聘的事,收集了一些安全岗位面试的一些题目和常见的答法。大环境寒气逼人,希望给看机会的小伙伴点帮助吧。
这个md5算法怎么解
我想把下面的给解密了,用cmd5.com改用哪个格式呀想解密的密文:c72185ba6ad87108e9fe59e61ee3dfb8password_code:lshi4AsSUrUOwWV{:6_418:}{:6_418:}{:6_418:},字数不够,emmmm凑字,emmmm凑字,emmmm凑字,emmmm凑字,emmmm凑字,emmmm凑字,emmmm凑字,emmmm凑字,emmmm凑字,emmmm凑字,emmmm凑字
命令行获取finalshell软件保存的公钥
命令行获取finalshell软件保存的公钥type c:\users\<username>\AppData\Local\finalshell\knownhosts.jsontype d:\finalshell(安装路径)\knownhosts.json该文件中关键字host的键值为远程服务器的SSH连接的IP和端口,关键字key的键值为该远程服务器的SSH连接的公钥。密码存在(感谢T00ls用户“就叫我小
应急演练之Fake WannaCry
最近做应急演练使用C#开发的一款wannacry病毒模拟程序,分享给有需要的安服仔 实现功能:1、修改桌面背景2、模拟真实wannacry病毒界面3、对Wannacry.exe目录下除exe文件外的所有文件均修改后缀名为.WNCRY适应系统:仅在Windows7、Windows10、Windows server 2008等系统中进行过测试使用方法:将WannaCr
EarthWorm+proxychains+msfconsole监听地址咋设置
师傅们,菜鸡提个问题目标边界服务器拿到shell,并且传马成功EarthWorm反向代理到我的一台云主机用kali的proxychains设置代理,成功之后打算用proxychains msfconsole来搞一波内网但又不知道是反向代理的原因还是什么,set lhost 设置监听地址老是出错 这种情况下我设置的监听地址是目标机器的内网IP吗
多种dump lsass思路和工具汇总
红队技巧-绕过杀软dump-Lsass内存 Gamma实验室微信公众号https://mp.weixin.qq.com/s/QFRCMX14WJwMfM4_AEzpMg【技术分享】转储lsass的方法原理和实现学习 安全客微信公众号https://mp.weixin.qq.com/s/Vfecs_dk5Jt86VeqFaoWIg利用远程进程分叉转存Lsass凭据 小生观察室微信公众号https://
Burpsuite 资料整理
Burpsuite 资料整理, 整到一起比较方便。大家有更多关于Burpsuite的Tip请一起增量。谢谢!插件序号名称功能参考文档1Turbo intruder并发https://www.freebuf.com/sectool/243953.htmlhttps://blog.csdn.net/qq_28205153/article/details/1138324882ddddocr验证码爆破https://www.t00ls.com/thread-6425
