2020-12-07 阅读(1460)

通过2020、11、16年CISSP考试，总结备考经验。我没有参加培训班，完全自学。从报名到 考试用了一年半的时间，期间断断续续的学习。实际学习大概两个月，我过了一次，比较顺利。 第...

2020-12-03 阅读(238)

这一阶段，就是利用对浏览器的控制，根据当前形势，探寻攻击的可能性。这种攻击有多种 形式，包括对浏览器的本地攻击，对浏览器所在操作系统的攻击，以及对任意位置远程系统的...

2020-11-30 阅读(449)

事情起源于邀请我进行授权渗透测试。这是第一个给我报酬的项目，我想做最好的事情。 目标客户是15个以上国家有业务的公司，世界上有120个以上的子公司和1200万以上的用户 。他们...

2020-11-29 阅读(183)

对于乙方的渗透测试来说，在进行前与用户沟通某些有关事项是非常必要的:首先是渗透测 试的目的:用户这次的需求是什么？等待保险、日常安全检查或者其他目的，不同的目的决定...

2020-11-29 阅读(292)

无论是读书，还是练习，你都需要总结，读书的总结会帮你提炼出书本上的知识点；练习的总结 会帮你在以后的道路上不断的去复习，少走弯路。概括起来最好有两种方法：一是绘制思...

2020-11-28 阅读(1496)

继承上一期app软件业务挖洞的一些经验，本文主要是针对小微信应用程序的BUG挖掘，微 信小程序默认是用自己的微信可以直接登陆，我们对微信小程序的BUG挖掘，关注的还是逻辑 漏洞...

2020-11-27 阅读(409)

在CY/T609协议中，通常的安全认证规则如下所示:当终端设备没有注册时，它将首先注册。 注册成功后，终端设备将获得验证码并保存。终端设备登录时将使用验证码。汽车须要拆装或...

2020-11-26 阅读(210)

社会工程学和前端安全。古典的社会工程学攻击案例:社会工程师利用人们的好奇心，或者贪 图便宜的心理，让某人捡起不小心丢下的USB，在好奇心的驱使下，该人将该USB插入自己的 计...

2020-11-24 阅读(228)

几年前，SQL注入在世界范围内很流行，但现在，SQL注入仍然是最流行的攻击方法之一， 开发人员为此头疼。当然主要是因为注入攻击的灵活性，一个目的，多条语句，多种编写方法 。...

2020-11-24 阅读(142)

什么是web渗透测试？一般是指通过模拟黑客的攻击手法，对计算机网络系统进行安全评估 测试，如果发现系统中存在漏洞，向被测试系统的所有者提交渗透报告，并提出补救措施。这...