台部落温柔小薛

社工郵件釣魚分析在大型企業邊界安全做的越來越好的情況下，不管是APT攻擊還是紅藍對抗演練，釣魚和水坑攻擊被越來越多的應用。（水坑攻擊感覺也很牛掰的樣子）說起釣魚，突然想起來小薛同學在大一收到一個釣魚郵件，結果還真真實實的上當了

2020-04-25 17:43:51

社工防禦方法今天學習的沒什麼特別的，主要是一些安全意識吧，現在我見着二維碼都不敢亂掃，網站不是用https我都不進，羣裏發的工具鏈接不敢點還學了六七種APT掛馬小工具的使用，就不發出來了哈，怕CSDN被封，可見設爲私密保命

2020-04-25 17:43:51

登錄頁面滲透測試思路與總結這應該算是面試中出現率很高的一個問題了吧，今天還大體過了一遍滲透測試報告書寫流程，比較簡單，整體框架基本都是一樣的，只是測試出的漏洞內容不同罷了，建議修改規範也差不多是固定的，就不寫總結了。我們在進

2020-04-25 17:43:51

WEB應用常見其他漏洞 1. 暴力猜解用戶名及密碼第一步肯定是要做這個工作的，不提供測試賬號，當然要暴力猜解一下了。嘗試一些弱口令如admin:admin, test:test, weblogic:weblogic, root:

2020-04-25 17:43:51

跨庫在我們進行sql注入的時候，經常會讀出許多庫。導致我們還需要在sqlmap裏面使用“—current-代表”進行判斷當前庫是哪個。 Mysql的root、mssql的sa、oracle的sys 分別是其數據庫中權限最大的賬戶

2020-04-21 10:28:05

Struts框架全系列命令執行漏洞還原 (端口默認8080) 歷史漏洞： https://www.seebug.org/search/?keywords=struts2 s2早期綜合利用工具（10-17年高危漏洞） K8 stru

2020-04-21 10:28:05

暴力猜解概述暴力猜解簡單來說就是將密碼進行逐個推算，直到找出真正的密碼爲止暴力破解注意事項破解前一定要有一個有郊的字典（Top100 TOP2000 csdn QQ 163等密碼）；判斷用戶是否設置了複雜的密碼、網站是否存

2020-04-21 10:28:05

CDN 1.前天剛看哥哥的安恆面經問到判斷是否使用CDN，以及CDN繞過（學安全的太難了，整個牛客網滲透測試就倆面經），今兒就學到了； 2.昨天沒有更新筆記不是因爲偷懶，昨天學習的是幾個編輯器常用的漏洞，因爲那幾個編輯器版本有點亂

2020-04-21 10:28:05

Weblogic中間件反序列化漏洞及相關常見漏洞有那些：弱口令、Java 反序列化漏洞操作（CVE-2018-2628）、任意文件上傳漏洞操作（CVE-2018-2894）、XML Decoder 反序列化漏洞操作（CVE-2

2020-04-21 10:28:05

越權原理介紹與實戰我小薛復活辣哎呀好些天沒更新，光顧着把結課作業整完了，兩天沒學，心裏就刺撓哈哈哈，眼瞅着日子一天天過，認識的小夥伴跑得飛快，也是着急上火。今兒學的是越權，難易程度比較簡單，沒有太多花裏胡哨的，就是有些費時

2020-04-21 10:28:05

CSRF釣魚添加管理員賬號及安全防範目錄CSRF釣魚添加管理員賬號及安全防範本地網絡設備 CSRF 攻擊CSRF 無需瀏覽器案例burp 添加管理員賬號小結CSRF 蠕蟲模型同域內 CSRF 攻擊獲取數據幾乎沒任何限制跨域 CS

2020-04-21 10:28:05

漏洞攻防測試目錄漏洞攻防測試概述有回顯情況無回顯的情況整個調用過程概述利用 xxe 漏洞可以進行拒絕服務攻擊（插入DOS攻擊），文件讀取，命令(代碼)執行（需要在編譯安裝php時，將命令執行模塊也安裝了），SQL(XSS)注

2020-04-21 10:28:05

旁註旁註是什麼呢？簡單來說，旁註，從其字面含義來理解，意爲：從旁註入。旁註，我們可以理解爲在同一服務器上的多個站點。在進行web站點架設的時候，很多時候由於成本等方面的原因，我們會在一個服務器上架設多個web站點，然後通過主機

2020-04-21 10:28:05

反序列化原理介紹與漏洞產生原因分析什麼是反序列化就是把一個對象變成可以傳輸的字符串，目的就是爲了方便傳輸。假設，我們寫了一個class，這個class裏面存有一些變量。當這個class被實例化了之後，在使用過程中裏面的一些變

2020-04-21 10:28:05

CS架暴力猜解指軟件，數據庫，操作系統，3389相關的破解。C/S 即客戶端/服務器,基於 C/S 架構的應用程序如 ssh ftp sql-server mysql 等，這些服務往往提供一個高權限的用戶，而這個高權限的用戶

2020-04-21 10:28:05