2021-01-18 阅读(191)

在DevSecOps实施方案中，过去的sDLC实施方案将被遗弃，安全和开发不再是两个完全隔离的环节，安全能力被嵌入到开发的整个生命周期中，这种能力会逐渐左移。在此期间，APP安全测试将...

2021-01-17 阅读(260)

报班学习大约从2020年2月开始，最开始是按照培训机构的计划，看录播+实况课程+OSG书籍；本来打算五月底参加考试，但没预约好，所以改到七月。但是在接下来的三个月里遇到了一些私...

2021-01-17 阅读(258)

我们从上面得到了172.16.*.*的新段落，接下来我对该段落进行了WEB端口的生存性检测，发现了路由管理界面。在这里尝试弱密码和爆破也没有得到相应的结果，但是现在我们的资产收集也...

2021-01-15 阅读(142)

这是对某SRC制造商某业务的登录页面的测试，文章的相关漏洞现在正在修复。提取其中思想的精髓，与大家分享。 开始登录框，一般情况下，我会马上打admin/123456。假如提示信息帐户不...

2021-01-12 阅读(135)

在一个项目中，客户的需求是在完全黑盒的情况下开展渗透测试，目标是内部网络的物理 隔离核心系统，因此展开了下一个测试行动。 那是1个艳阳高照的早上，我背个我的小书包来到...

2021-01-10 阅读(614)

前几天帮朋友弄了个域名。很久没有域名了，感觉快被遗忘了。幸运的是，我终于突破了这 个领域，但不是应朋友的要求以文章的形式写出来的。我简单整理了一些思路和测试过程中遇...

2021-01-10 阅读(154)

该案例记录了笔者2020年 渗透测试 的目标网站，当时首先找到了子域名SA权限的检索型注入， 认为能够顺利获得目标服务器的权限，结果在测试中遇到了很多问题。例如，我们测试了一...

2021-01-10 阅读(70)

该案例记录了笔者2020年 渗透测试 的目标网站，当时首先找到了子域名SA权限的检索型注入， 认为能够顺利获得目标服务器的权限，结果在测试中遇到了很多问题。例如，我们测试了一...

2021-01-07 阅读(386)

绕过Web防火墙，WAF简介，WAF对于一些常规漏洞（如sql注入漏洞、XSS漏洞、命令执行漏 洞、文件包含漏洞等）的检测大多是基于正则表达式和AI+规则的方法，因此会有一定的概率 绕过其...

2021-01-07 阅读(406)

2021年元旦初接到许多网友的留言，想要了解网站漏洞利用的高危方式都有哪些，其实最 致命的漏洞就是执行任意命令导致可以拿下最高权限，但仅限于讨论，如果在渗透测试客户站 点...