腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
黑白安全
黑白网成立于2014年,基于丰富的技术和经验,提供各类技术性动态。官网:heibai.org.cn
专栏作者
举报
1299
文章
2143189
阅读量
250
订阅数
订阅专栏
申请加入专栏
全部文章
安全
网络安全
其他
黑客
php
网站
windows
编程算法
https
数据库
http
tcp/ip
shell
sql
linux
html
github
人工智能
开源
java
git
python
api
安全漏洞
存储
微信
腾讯云测试服务
dns
搜索引擎
云数据库 SQL Server
ddos
android
访问管理
区块链
ios
javascript
企业
比特币
游戏
缓存
文件存储
自动化
apache
物联网
网站渗透测试
tomcat
大数据
数据分析
xml
json
打包
windows server
thinkphp
ftp
powershell
bash
.net
单片机
ubuntu
分布式
asp
udp
nginx
容器镜像服务
access
unix
深度学习
运维
爬虫
ssh
费用中心
数字货币
机器学习
iphone
go
css
jquery
神经网络
命令行工具
短信
容器
seo
cdn
网站建设
云镜(主机安全)
人脸识别
mac os
c++
jsp
oracle
ide
正则表达式
erp
flash
iis
验证码
漏洞扫描服务
actionscript
node.js
bash 指令
apt-get
VPN 连接
检测工具
jdk
wordpress
npm
机器人
数据结构
nat
facebook
隐私
负载均衡
swift
ruby
ajax
memcached
svn
负载均衡缓存
SSL 证书
图像处理
gui
unity
grep
kernel
小程序
云计算
c#
lua
vbscript
qt
composer
云数据库 Redis
vba
jar
maven
analyzer
delphi
云函数
云数据迁移
DevOps 解决方案
电商
数据安全
serverless
压力测试
html5
rpc
gcc
lamp
ntp
微服务
腾讯云开发者社区
虚拟化
drupal
app
exe
md5
加密
手机
DNS 解析 DNSPod
NLP 服务
自动驾驶
xcode
perl
servlet
jquery ui
ecmascript
webview
汇编语言
arm
嵌入式
postgresql
phpmyadmin
django
flask
eclipse
struts
spring
NAT 网关
物联网通信
文字识别
数字营销
mongodb
金融
o2o
出行
移动开发
kubernetes
图像识别
yum
sql server
推荐系统
markdown
jenkins
socket编程
lnmp
hexo
kerberos
haskell
云数据库 postgresql
信息流
防火墙
密钥管理服务
安全治理
5g
unicode
ascii
ipv6
groovy
app测试
实时监控
flink
flarum
安全.
应急响应服务
攻击面管理
云安全中心
Elasticsearch Service
discuz!
amp
apply
asterisk
bat
branch
channel
dll
dp
dump
find
foursquare
function
gif
gmail
google
instagram
ip
jpeg
nlp
ode
onclick
oop
pdb
pid
policy
private
runtime
sip
svm
sys
thinkphp5
uber
usb
version
voice
wifi
wiki
window
youtube
zero
测试
服务器
工具
管理
集合
集群
计算机
教程
漏洞
内核
配置
苹果
软件
搜索
网络
效率
源码
主机
搜索文章
搜索
搜索
关闭
收藏 | 2022某大型活动期间爆出漏洞自查清单
安全
网络安全
网站渗透测试
腾讯云测试服务
1、2022某大型活动期间漏洞清单整理,以下信息均来源于网络。2、整理此清单一方面希望帮助企业自查,如果存在相应漏洞尽快修复;另一方面帮助白帽子拓展漏洞库,方便后续做渗透测试使用。3、如有侵权,联系删除。4、信息不一定真实,存在误报的可能,请自行判断。Apache Commons远程代码执⾏漏洞(CVE-2022-33980) Array VPN 0day
C4rpeDime
2022-08-15
2.7K
0
记一次利用00进行短信轰炸的渗透手法
短信
网络安全
安全
网站渗透测试
腾讯云测试服务
最近在一次渗透测试过程中遇到了一个比较有意思的漏洞,可利用特殊字符构造手机号以绕过发送频率限制,进行短信轰炸。并且在RD同学改完后,仍然发现可被绕过,因此再次记录一番。(文中涉及站点的图片都已打码,只在分享渗透的思路)空格绕过姿势在对某站进行渗透测试过程中,发现该网站上有一处发送短信验证码功能,该功能数据包截图如下:可以看到postdata里面是一个json
C4rpeDime
2022-04-26
1.7K
0
渗透测试工具集成系统环境\单兵武器库
https
linux
windows
网站渗透测试
压力测试
渗透系统环境简介以下介绍的系统环境都可以说是一个单兵武器库。每一个渗透系统环境都各有不同,它们集成了各式各样的武器装备,只需导入虚拟机,既可使用,无需自行安装,方便又高效!免责声明~本文仅供渗透测试使用,切勿违法,一切与本人无关!无授权,不渗透!Github项目地址请点击查看原文~01 CTF_Tools—SystemCTF 工具集成系统环境~本项目主要搜
C4rpeDime
2022-04-26
4.9K
0
浅谈威胁诱捕(威胁感知)技术在网络安全保障与蓝队防御过程中的重要应用
网站渗透测试
腾讯云测试服务
网络安全
安全
目前,针对国家重大事件、活动的网络安全保障屡见不鲜,同时也是保障各应用、系统、网络、企业、行业在特殊时期安全、可靠、稳定、健康运行的重要举措。在目前的各种网络安全保障中可能会出现两种角色,一是红队安全检测方,另一方面则是蓝队防御用户方,对于用户侧的蓝队防御方来说往往要长期经受来自红方安全检测各方面的自动化安全检测与手工安全渗透测试,从而来验证用户系统安全策略
C4rpeDime
2022-04-25
919
0
Leprechaun:渗透测试过程中用来将网络拓扑可视化的工具
网站渗透测试
腾讯云测试服务
sql
在获取组织网络的提升权限后,接下来你想要做什么?我想大多数的答案应该是,获取有价值的数据!如今市面上已有许许多多的工具和方法,可以帮助我们在渗透测试期间提升权限,以及查找有价值的数据。在本文中我想讨论Leprechaun,一款用于协助后渗透利用的新工具 。为什么选择Leprechaun?在我的许多渗透测试任务中,想要获取至少某种级别的提升权限通常只是一个时间
C4rpeDime
2022-04-24
597
0
火眼推出Windows免费渗透测试套件,包含140多款工具
windows
网站渗透测试
腾讯云测试服务
linux
powershell
2019年3月28日,火眼发布了一个包含超过140个开源Windows渗透工具包,红队渗透测试员和蓝队防御人员均拥有了顶级侦察与漏洞利用程序集。该工具集名为“CommandoVM”。安全工作者在对系统环境进行渗透测试时常常会自己配置虚拟机,如果是Linux的话还好,还有Kali Linux可以用。但是碰上Windows环境就惨了,往往配置虚拟机环境就要好几个
C4rpeDime
2022-04-24
3.3K
0
华山论剑,谁是真英雄——从渗透角度实测终端安全软件
腾讯云测试服务
ecmascript
shell
网站渗透测试
黑客
为测试不同终端安全产品在渗透攻击下的真实反应,我组织技术部的同事针对市场上常见的几款终端安全产品进行了攻击测试,测试产品包括卡巴斯基KES11、360天擎、360EDR、金山、趋势、天融信等。
C4rpeDime
2020-01-20
959
0
FFM:功能强大的开源渗透测试工具,帮你开启自由攻击模式的"新大陆"
shell
python
网站渗透测试
开源
FFM是一款采用Python开发的开源渗透测试工具,广大研究人员可以将FFM用于红队任务的后渗透测试阶段。
C4rpeDime
2020-01-20
602
0
Legion:一款易于使用且功能强大的半自动化网络渗透工具
容器镜像服务
python
网站渗透测试
自动化
一款名叫Legion的开源软件,这款工具简单易用,且具有高度可扩展性。这是一款半自动化的网络渗透测试工具,可帮助研究人员发现、侦察和利用目标信息系统中的安全漏洞。
C4rpeDime
2020-01-20
1.6K
0
TrackRay:一个开源的微服务渗透测试框架
java
网站
开源
网站渗透测试
数据库
溯光(TrackRay)是一个由Java语言编写的服务式插件化渗透测试框架,项目是一个WEB服务,提供了调用插件和扫描的接口,并且使用了 Websocket 技术实现命令行风格交互,启动后只需要通过浏览器即可使用,有着多数开源渗透测试框架不具备的特点。
C4rpeDime
2020-01-20
1.1K
0
Kaboom:一款功能强大的自动化渗透测试工具
安全
https
网络安全
自动化
网站渗透测试
本文介绍的是一款名叫Kaboom的自动化渗透测试工具,广大研究人员可以使用这款功能强大的工具来完成日常的渗透测试任务。
C4rpeDime
2020-01-20
2.1K
0
web安全漫谈
网站渗透测试
安全
php
windows
linux
不夸张的说,网络安全行业里,web安全方向的人相对来说决定占大头,而web安全工程师又是其中不可缺少,想要成为一名成功的web安全工程师,首先要知道绝对的职位要求,话不多少,网上截两段~ 1、熟悉常见Windows&linux、Web应用和数据库各种攻击手段; 2、熟悉网络安全测试方法、测试用例、漏洞判定准则; 3、有实际渗透测试经验,熟悉渗透测试各种提权方法; 4、熟悉常见脚本语言,能够进行WEB渗透测试,恶意代码检测和行为分析; 5、熟悉常见Web高危漏洞(SQL注入、XSS、CSRF、WebShell等)原理及实践,在各漏洞提交平台实际提交过高风险漏洞优先; 6、熟练使用各种安全扫描,渗透工具,有丰富的安全渗透经验并能能独立完成渗透测试; 7、掌握MySQL、MSSQL、Oracle、PostgreSQL等一种或多种主流数据库结构以及特殊性; 8、有较强的敬业精神,善于与人沟通,具有良好的团队意识,具有责任心,具有良好的抗压能力,善于处理各类突发事件,善于学习新知识。 1.负责公司相关业务的安全评估及渗透测试,并提供解决方案2.负责公司相关业务代码审计,挖掘漏洞并提供解决方案 3.跟踪并研究主流安全技术,并应用到公司相关业务中工作要求 4.熟悉常见WEB漏洞及攻击方法,比如SQL注入、XSS、CSRF等 5.熟悉常见WEB漏洞扫描工具的使用,比如WVS 6.熟悉Windows、Linux平台渗透测试和安全加固 7.熟悉Java、PHP、ASPX、Javascript、HTML5等的一种或多种WEB程序语言 8.具有Java、PHP白盒审计经验者优先 9.具有较强的团队意识,高度的责任感,文档、方案能力优秀者优先 混迹于此圈的人想必也是非常清楚的,以上纯属多余,莫见怪~ 那么我们要怎么做呢?看看大神都是怎么说的~ 01环境的搭建 熟悉基本的虚拟机配置。 Kali linux,centos,Windows实验虚拟机 自己搭建IIS和apache 部署php或者asp的网站 搭建Nginx反向代理网站 了解LAMP和LNMP的概念 02熟悉渗透相关工具 熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan、Msf等相关工具的使用。 了解该类工具的用途和使用场景,先用软件名字Google/SecWiki; 下载无后们版的这些软件进行安装; 学习并进行使用,具体教材可以在SecWiki上搜索,例如:Brup的教程、sqlmap; 待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱; 了解msf的基础知识,对于经典的08_067和12_020进行复现 03Web安全相关概念 熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。 通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki; 阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的; 看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程等); 04渗透实战操作 掌握渗透的整个阶段并能够独立渗透小型站点。 网上找渗透视频看并思考其中的思路和原理,关键字(渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等等); 自己找站点/搭建测试环境进行测试,记住请隐藏好你自己; 思考渗透主要分为几个阶段,每个阶段需要做那些工作,例如这个:PTES渗透测试执行标准; 研究SQL注入的种类、注入原理、手动注入技巧; 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架; 研究XSS形成的原理和种类,具体学习方法可以Google/SecWiki,可以参考:XSS; 研究Windows/Linux提权的方法和具体使用,可以参考:提权; 可以参考: 开源渗透测试脆弱系统; 05关注安全圈动态 关注安全圈的最新漏洞、安全事件与技术文章。 通过SecWiki浏览每日的安全技术文章/事件; 通过Weibo/twitter关注安全圈的从业人员(遇到大牛的关注或者好友果断关注),天天抽时间刷一下; 通过feedly/鲜果订阅国内外安全技术博客(不要仅限于国内,平时多注意积累),没有订阅源的可以看一下SecWiki的聚合栏目; 养成习惯,每天主动提交安全技术文章链接到SecWiki进行积淀; 多关注下最新漏洞列表,推荐几个:exploit-db、CVE中文库、Wooyun等,遇到公开的漏洞都去实践下。 关注国内国际上的安全会议的议题或者录像,推荐SecWiki-Conference。 06熟悉Windows/Kali Linux 学习Windows/Kali Linux基本命令、常用工具。 熟悉Windows下的常用的cmd命令,例如:ipconfig,ns
C4rpeDime
2020-01-20
1.1K
0
没有更多了
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档