发表在 SecureBit ·2021年6月10日 理解——网络安全团队和角色 想在网络安全但仍然困惑开始从哪里开始呢?适合你的兴趣和技能发挥什么样的作用?在网络安全团队加入什么?可用的职业选择是什么?下面的图像从ServiceNow清楚地描述了不同团队的概念以及它们如何一起工作… 网络安全 6分钟阅读 网络安全 6分钟阅读
发表在 信息安全增记 ·2021年4月3日 理解和识别不安全的反序列化的漏洞 这篇文章解释了不安全的反序列化的本质弱点。我们将涵盖基本的了解和识别。不安全的反序列化——脆弱性8日点在于OWASP十大漏洞- 2017。据说是最难以理解的脆弱性在OWASP前十名。也不安全的反序列化是… 信息安全 5分钟读 信息安全 5分钟读
发表在 信息安全增记 ·2021年2月13日 开始使用XSS:跨站点脚本编制的攻击 让我们开始使用XSS,为了得到这些重要的bug——CSRF SSRF,远端控制设备。大多数时候,XSS漏洞的原因是一个漏洞利用和升级到一个重要的发现。结构:首先,我们将首先学习基础… 信息安全 9分钟阅读 信息安全 9分钟阅读
发表在 信息安全增记 ·2021年1月17日, 利用基于错误的SQL注入和绕过限制 在本文中,我们将学习如何升级当我们坚持基于错误的SQL注入攻击。在潜水之前,让我们快速掌握偏差SQLi的基础知识。什么是偏差SQL注入攻击?偏差SQL注入攻击是一种带内注射技术,我们利用从数据库错误输出… 信息安全 7分钟阅读 信息安全 7分钟阅读
发表在 信息安全增记 ·2020年12月13日 识别和利用SQL注入:手动和自动 在本文中,我们将首先识别SQL注入漏洞和如何利用脆弱的应用程序。进一步,我们将深入自动化工具:Sqlmap,这将缓解攻击升级。让我们从最基本的开始:SQL注入是什么?SQL注入攻击由SQL的“插入/注射”… 信息安全 7分钟阅读 信息安全 7分钟阅读
发表在 信息安全增记 ·2020年11月28日 测试目录或路径遍历漏洞 在本文中,我们将讨论,如何执行目录遍历或路径遍历攻击,又名“dot-dot-slash”,“目录爬”和“回溯”。路径遍历的弱点是什么?用简单的话说:路径遍历漏洞时出现应用程序使用用户可控的数据访问应用服务器上的文件和目录或其他后端文件系统在一个不安全的… 信息安全 10分钟读 信息安全 10分钟读
发表在 信息安全增记 ·2020年11月7日 理解和利用:跨站点请求伪造(CSRF漏洞 跨站请求伪造(CSRF)是一个终端用户执行攻击部队意想不到的行动在一个web应用程序,他们目前正在进行身份验证。一个社会工程,攻击者可能会迫使一个web应用程序的用户执行攻击者的行为选择。跨站点脚本… 信息安全 5分钟读 信息安全 5分钟读
发表在 信息安全增记 ·2020年10月30日 识别&升级HTTP主机头注入攻击 HTTP主机头的目的是帮助确定哪些客户机想要与后端组件。几个错误配置和有缺陷的业务逻辑可以通过HTTP公开网站各种攻击的主机头。在潜水之前,让我们了解一些基本的术语。一个HTTP头是什么?HTTP头信息… 信息安全 6分钟阅读 信息安全 6分钟阅读
发表在 信息安全增记 ·2020年10月18日 分解——命令注射 命令注入或OS命令注入是一个类别的注入漏洞,攻击者在哪里可以利用一个unsanitized用户输入进一步在服务器运行默认的操作系统命令。代码注入:允许攻击者添加自己的代码,然后由应用程序执行。命令… 信息安全 6分钟阅读 信息安全 6分钟阅读
发表在 信息安全增记 ·2020年10月10日, 服务器端请求伪造- SSRF:开发技术 服务器端请求伪造或SSRF是一个漏洞,允许攻击者使用一个脆弱的服务器,使代表攻击者的HTTP请求。这类似于CSRF漏洞执行HTTP请求而不承认它的受害者。SSRF:受害者将是脆弱的… Bug赏金 4分钟阅读 Bug赏金 4分钟阅读