文章列表
您的 SaaS 应用程序中隐藏的安全漏洞:您是否做了尽职调查?
对于旨在提高生产力和简化运营的组织来说,SaaS 应用程序已成为不可或缺的工具。然而,这些应用程序提供的便利性和效率伴随着固有的安全风险,通常会留下可被利用的隐藏漏洞。对 SaaS 应用程序进行彻底的尽职调查对于识别和减轻这些风险至关重要,从而确保保护组织的敏感数据。了解尽职调查的重要性尽
攻击者利用公共 .env 文件入侵云账户进行勒索
一场大规模勒索活动利用包含与云和社交媒体应用程序相关的凭据的可公开访问的环境变量文件 (.env),危害了各个组织。Palo Alto Networks Unit 42在周四的一份报告中指出: “这次攻击活动中存在多处安全失误,包括:暴露环境变量、使用长期凭证以及缺乏最小特权架构。”此次活动最引人注目的是,它在受
FCIS 2023白帽论坛议题:从0开始设计webshell管理工具(张兆伟)
01 背景 一、为什么要从0开发和设计自己的WebShell管理工具? 二、WebShell进化史——流量02 设计流程 一、数据库选型与表设计 二、客户端编程语言选型 三、客户端主要功能设计03 功能设计 一、模拟终端实现的思路 二、文件管理实现的思路 三、流量加密实现的思路
fsociety:黑客工具包 – 渗透测试框架
# Fsociety 黑客工具包渗透测试框架,您将拥有黑客所需的所有脚本。适用于Python 2。有关Python 3版本,请参阅更新版本fsociety-team/fsociety。Github:https://github.com/Manisso/fsociety## 菜单- 信息收集- 密码攻击- 无线测试- 利用工具- 嗅探和欺骗- 网络黑客- 私人网络黑客- 后期利用- 贡献者-
ValleyRAT 多阶段攻击,采用先进策略瞄准中国用户
正在进行的 ValleyRAT 恶意软件传播活动的目标是讲中文的用户。Fortinet FortiGuard Labs 研究人员 Eduardo Altares 和 Joie Salvio表示:“ValleyRAT 是一种多阶段恶意软件,它利用多种技术来监视和控制受害者并部署任意插件以造成进一步的破坏。”“该恶意软件的另一个值得注意的特征是它大量使用 s
FCIS 2023白帽论坛议题:Fuzzing的艺术(麦香)
Fuzzing的艺术如何一天发现数百个漏洞编译器/解释器应用广泛1. 网络浏览器2. 数据库管理系统3. 插件或扩展式软件4. 办公软件或文档编辑器5. 操作系统,虚拟机6. 配置文件编排系统7. 编译器/解释器总结1. PolyGlot让语言处理器fuzzing变得通用和高效 a. 一个小时不到就可以写出一个高效的语言fuzzer2.
subfinder:快速被动子域名枚举工具
---subfinder是一款子域名发现工具,可使用被动在线资源返回网站的有效子域名。它具有简单的模块化架构,并且针对速度进行了优化。subfinder它只为做一件事而构建——被动子域名枚举,并且它做得非常好。我们已使其符合所有使用的被动源许可证和使用限制。被动模型可确保速度和隐秘性,渗透测试人员和
新型 Gafgyt 僵尸网络变种利用弱 SSH 密码进行 GPU 加密货币挖矿
网络安全研究人员发现了Gafgyt僵尸网络的新变种,该变种以具有弱 SSH 密码的机器为目标,最终利用其 GPU 计算能力在受感染的实例上挖掘加密货币。Aqua Security 研究员 Assaf Morag在周三的分析中表示,这表明“物联网僵尸网络的目标是在云原生环境中运行的更强大的服务器”。Gafgyt(又名 BASHLITE、L
中国计算机行业协会官网存在SQL注入漏洞
中国计算机行业协会官网存在SQL注入漏洞
PSRC白帽子安全沙龙第九期成都站:JS逆向分析(王世杰)
目录1.常见加密方式 1.MD5线性散列算法 2.DES/AES加密 3.RSA加密 4.SSL/TLS加密2.代码混淆原理 1.字符位移 2.对象属性访问 3.标识符重命名 4.代码结构变化 5.字符串加密 6.数据流向混淆3.常见问题分析 1.无限debugger 2.调试界面进入 3.常见混淆解码4.实例分析 1.某网站解密密文 2.某sr
