台部落沙漠网管

啓動準備： 1、參考標準：《GB-T20984-2007 信息安全風險評估規範》《深圳市信息安全風險評估實施指南》 2、啓動大會-《風險評估啓動會議紀要》 3、信息安全風險評估工作計劃-《XXXXX年度信息安全風險評估工作計劃》

2020-06-15 17:33:05

背景：這是某OA的一個頁面，主要功能是供用戶提交一些需求，頁面有表單和文件上傳接口，在對該頁面進行安全測試的時候，我希望對這些用戶輸入表單進行存儲型XSS的測試，然而由於頁面使用了隨機Token，致使用掃描器進行掃描時發現並不能

2020-06-15 17:33:05

手機驗證碼暴破：工作中經常遇到需要爆破手機驗證碼的情況，一般的手機驗證碼都是4位或者6位純數字的，當然，暴破驗證碼是需要條件的： 1、程序有沒有錯誤鎖定 2、程序有沒有驗證碼防暴破，當然驗證碼要不可重放的纔有效防止暴破 3、手機

2020-06-15 17:33:05

背景：在對某網站進行安全測試的時候，發現登錄密碼是加密的，而且同一密碼每登錄一次生成的密文都不相同，用Burp對登錄接口進行重放，發現並沒有什麼限制，由此初步推斷是可以進行暴力破解的。但是由於密碼是加密的，使用Burp的暴力破解

2020-06-15 17:33:05

背景：客戶爸爸最近突然要求我對公司所有IP進行一次操作系統識別的掃描。聽起來這個要求並無過分，然而卻有以下難點： 1、客戶爸爸不能提供具體要掃描的IP地址，只能提供整個IP規劃。甚至連一個EXCEL表格的子網都無法提供，僅僅丟了

2020-06-15 17:33:05

本文是實操，旨在理解: 對稱加密、非對稱加密、散列的具體實現； CA的整個工作過程；數字證書到底包含哪些內容。本文也是我的上一篇《對稱加密、非對稱加密、散列算法與PKI》的具體實現，如果對本文涉及的對稱加密、非對稱加密、散列算

2020-06-15 17:33:05

背景：事情是這樣的，由於公司讓在2020年1月8日中午12點前提交“年終總結PPT”，作爲一個搞技術的，我一向對PPT深惡痛絕，於是就沒重視提交晚了，自然領到了200RMB的處罰。然而領導寬容，要求我只要能提交在2020年1月8

2020-06-15 17:33:05

前言：取得授權：漏掃已經是實質的攻擊行爲，請務必確保你的掃描動作是經過授權的，尤其不要嘗試在非授權的情況下在互聯網上掃描政府類網站。測試備份：漏掃可能會對目標系統造成數據破壞或Dos攻擊，造成數據篡改、丟失(完整性)或者業

2020-03-21 22:55:12

漏洞等級：高漏洞風險：會使攻擊者遠程查看、修改或刪除數據庫內條目和表單 N-Base分類：遠程命令執行----SQL注入漏洞描述： SQL注入是一種WEB程序的漏洞，通過注射，攻擊者可以獲得數據庫中存儲的數據，造成機密數據的外

2020-03-14 12:25:19

看了不少關於WEB安全、WEB滲透的之類的教程，除了教一些思路、工具、方法外。在介紹漏洞和案例時大多都是拿類似DVWA的靶機進行一些SQL注入、XSS、CSRF、文件上傳、命令注入、等一些有代表性的漏洞來進行演示。但實際的滲透測試

2020-03-14 12:25:19

風險等級：中漏洞風險：惡意攻擊者可以通過跨站的方式操縱用戶行爲。 N-Base分類：遠程攻擊----服務器端跨站缺陷漏洞描述：通過僞裝來自受信任用戶的請求來利用受信任的網站。測試工具：BURP、手工實戰案例： CSRF漏洞

2020-03-14 12:25:19

風險等級：中漏洞風險：會使攻擊者劫持並操縱客戶會話，模仿合法用戶，並以該用戶身份查看或變更用戶記錄以及執行事務 N-Base分類：客戶端攻擊類型----會話劫持漏洞描述：應用程序向每名未通過驗證的用戶發佈一個匿名會話令牌。在

2020-03-14 12:25:19

風險等級：高漏洞風險：會使得攻擊者可重置任意賬戶進行惡意操作 N-Base分類：遠程攻擊----驗證碼暴力破解漏洞描述：由於應用系統修改密碼是通過手機驗證碼來驗證的，但未使用圖形驗證碼或驗證碼可重放造成對手機驗證碼的暴力破解

2020-03-14 12:25:19

背景：今天接到一項工作任務，其中需要提取一個excel裏面一列，並去重。比較簡單，直接上代碼。代碼： import xlrd def get_col(xlsx): l1=[] file=xlrd.open_w

2020-03-14 12:25:19

前言：安全工作中經常會遇到需要轉碼或加密的情況，比較好用的有Burp的Decoder模塊以及IBM APPSCAN的PowerTools中的編碼/解碼工具。具體用法都非常簡單。今天就用Python編寫一個有GUI界面的簡

2020-02-25 03:35:01