si1ent

Tomcat漏洞汇总

Tomcat
介绍Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体 ...
Read more

应用程序接口(API)数据安全研究报告

文档
​ 应用程序接口(Application Programming Interface,API)在互联网时代向大数据时代快速过渡的浪潮中承担着连接服务和传输数据的重任。近年来,国内外发生多起由于API漏洞被恶意攻击或安全管理疏漏导致的数据安全事件,对相关企业和用户权益造成严重损害。 ​ ...
Read more

Tcpdump

Tcpdump 学习记录
tcpdump - dump traffic on a network 根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉 ...
Read more

常见未授权访问

漏洞学习
本文主要介绍和学习关于“未授权访问”漏洞;从字面了解到“未授权”指的是部署的系统未启用认证功能而被直接访问/操作的安全隐患/漏洞。 感谢前人大佬整理,内容参考网上大佬文章整理,您也可直接看这里.漏洞环境参考Vulhub,部分环境根据漏洞影响范围来选择安装和搭建. 虚拟机22G 准备12 ...
Read more

Jboss漏洞汇总

Jboss
JBoss是一套开源的企业级 Java 中间件系统,用于实现基于 SOA 的企业应用和服务 JBoss AS 开源社区版本,发布比较频繁。JBoss 7 ,先后发布了 7.0.0, 7.0.1, 7.0.2, 7.1.0, 7.1.1, 7.1.2, 7.1.3, 7.2.0,其中 7.1. ...
Read more

Drozer检测学习

移动应用安全
Drozer是MWR Labs开发的一款针对Android系统的综合安全测试框架。Drozer可以通过与Dalivik 虚拟机,以及其它应用程序的IPC端点以及底层操作系统的交互,避免正处于开发阶段,或者部署于你的组织的android应用程序和设备暴露出不可接受的安全风险。 环境配置1234 ...
Read more

DNS Log Injection

DNS-Injection
注入类漏洞我们都了解,比如之前整理SQL Injection时介绍和说明的一样,而今天学习的DNS Log 注入通过名称我们应该也知道,是利用DNS来完成的带外注入的攻击手段,而这些又如何实现的呢?一起慢慢来学习分析. DNS定义DNS介绍DNS(Domain Name System,域名系 ...
Read more

API及客户端漏洞挖掘

API渗透
API及客户端漏洞挖掘准备1234567* API文档(postman生成document文档或单功能测试)* 测试账户两个(权限不同账户)* Burp Suite工具* Postman* MobSF框架* 浏览器及插件(Chrome&Modheader&postman插件) ...
Read more

CDN学习与介绍

CDN
CDN 其实是 Content Delivery Network 的缩写,即“内容分发网络”源站内容(image、html、js、css等)一种合理解决因网络请求较大并自动分配因地域分开而实现的网络加速技术. CDN 诞生于二十多年前,随着骨干网压力的逐渐增大,以及长传需求的逐渐增多,使得骨 ...
Read more

Passionfruit:iOS应用黑盒评估工具

Passionfruit
虽没有 Android 平台那么多的攻击面和利用姿势,iOS 应用依然有安全审计的需求。移动平台的安全目前采用的策略基本上都是扫描器加上一部分人工的逆向和动态分析. 概述一款名叫Passionfruit的iOS应用程序黑盒审计工具,该工具由frida.re和vuejs共同驱动.支持Web ...
Read more
Prev Next