腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Bypass

专栏作者

230

文章

543902

阅读量

60

订阅数

基于AD Event日志检测哈希传递攻击

编程算法网络安全安全 python

哈希传递攻击是基于NTLM认证的一种攻击方式，当我们获得某个管理员用户的密码哈希值，就可以利用密码哈希值进行横向渗透。

2023-02-18

2780

基于AD Event日志检测LSASS凭证窃取攻击

windows 编程算法安全

简单介绍一下，LSASS（本地安全机构子系统服务）在本地或域中登录Windows时，用户生成的各种凭证将会存储在LSASS进程的内存中，以便用户不必每次访问系统时重新登录。

2023-02-18

4580

绕过接口参数签名验证

编程算法数据加密服务网站游戏小程序

在一些关键业务接口，系统通常会对请求参数进行签名验证，一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中，如果没办法绕过签名校验，那么就无法进一步深入。

2022-12-01

1.2K0

绕过小程序签名验证

编程算法数据加密服务游戏小程序微信

在一些关键业务接口，系统通常会对请求参数进行签名验证，一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中，如果没办法绕过签名校验，那么就无法进一步漏洞检测。

2022-12-01

1.1K0

Shiro高版本默认密钥的漏洞利用

网络安全安全文件存储编程算法网站

在Shiro反序列化漏洞修复的过程中，如果仅进行Shiro的版本升级，而没有重新生成密钥，那么AES加密的默认密钥扔硬编码在代码里，仍然会存在反序列化风险。

2021-12-13

2.4K0

恶意样本基础分析技巧

网络安全编程算法

当服务器发生病毒入侵，使用杀毒软件检测到一个恶意程序，你删除了它。但是过了几天又发生了同样的安全事件，很显然恶意程序被没有被清除干净。我们需要知道这个恶意代码到底做了什么，如何进行有效检测，才能进一步消除它带来的影响。

2021-07-22

1.8K0

窃取MSSQL各版本密码HASH

编程算法 sql 数据库网络安全

MSSQL使用自制的密码哈希算法对用户密码进行哈希，在内网渗透中，大多数服务口令都是一样的，收集MSSQL数据库的用户和密码可能会有用。

2021-02-03

3K0

一段困扰许久的防注入代码

php 网络安全编程算法正则表达式 sql

有段时间一直热衷于研究各种waf绕过，一般来说，云WAF可以通过找到网站真实IP来绕过，硬件waf也常因为HTTP协议解析差异导致绕过，但是，代码层的防护往往只能从代码逻辑里寻找绕过思路。

2021-01-05

9350

内网横向移动思路和技巧

windows 编程算法网络安全安全

攻击者借助跳板机进一步入侵内网服务器后，接着会通过各种方式来获取目标系统权限，获取用户的明文密码或Hash值在内网中横向移动。

2020-12-02

1K0

通过命令下载执行恶意代码的几种姿势

在渗透过程中，攻击者往往需要通过命令下载执行恶意代码，实现信息收集、持久化、权限提升、防御绕过、提取凭证、横向移动、数据渗出等操作。

2020-08-27

2K0

Windows文件下载执行的15种姿势

windows linux ftp 缓存编程算法

当我们通过Web渗透获取了一个Shell，而且目标主机是Windows，我们该怎么去下载后门文件到目标主机上执行呢？

2020-04-26

3.2K0

终端安全管理之殇：安全管控能力与用户体验

运维安全网络安全存储编程算法

在过去很长一段时间，信息安全就等于终端安全，这个领域受重视较早，有着比较完整和成熟的终端安全产品。

2019-11-28

2.7K0

Window权限维持（四）：快捷方式

powershell windows 编程算法 python

Windows快捷方式包含对系统上安装的软件或文件位置（网络或本地）的引用。自从恶意软件出现之初，便已将快捷方式用作执行恶意代码以实现持久性的一种方法。快捷方式的文件扩展名是.LNK，它为红队提供了很多机会来执行各种格式的代码（exe，vbs，Powershell，scriptlet等）或窃取NTLM哈希值。更隐蔽的方法是修改现有合法快捷方式的属性，但是生成具有不同特征的快捷方式可以为代码执行提供灵活性。

2019-11-14

1.2K0

如何防止短信API接口遍历

短信网站 api 编程算法

短信API接口在web中得到越来越多的应用，如用户注册，登录，密码重置等业务模块都会使用手机验证码进行身份验证。一般情况下，我们会采用这样的安全策略，将短信发送频率限制在正常的业务流控范围内，比如，一个手机号一天最多下发10条短信，同时限制时效，验证次数。但这样的策略，攻击者通过遍历手机号，还是阻止不了短信资源被消耗的情况。

2019-09-17

8.9K0

安全编码实践之三：身份验证和会话管理防御

安全网络安全编程算法

我一直致力于安全编码实践，并试图尽可能多地学习基本要点。在过去的几年里，我已经意识到一个小小的漏洞在普通人的生活中可能造成的伤害。像WannaCry和Petya勒索软件这样的网络攻击在几个遭受其原因的人心目中是相当新鲜的。

2019-07-08

1.3K0

PHP代码审计笔记--XSS跨站脚本

安全网络安全 html php 编程算法

这边代码逻辑中，问题根源在于最后一句的url解码输出，导致存在三重url编码绕过的情况。

2019-07-08

8710

当sqlmap跑不出数据怎么办

python sql 网络安全编程算法

你有没有遇到这样的场景，好不容易找到了一个SQL注入点，扔到SqlMap，爆错，怎么也跑不出数据。

2019-07-08

3.6K0

PHP代码层防护与绕过

php 编程算法 http sql 数据库

　　在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御，在一定程度上对网站安全防护还是比较有效的。

2019-07-08

1.3K0

【渗透技巧】XSS三重URL编码绕过实例

网络安全安全 php html 编程算法

跨站脚本攻击(Cross Site Scripting)，缩写为XSS，恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。在黑盒渗透中，XSS在很多网站中普遍存在，这边分享一个简单有意思的XSS三重URL编码绕过漏洞实例。

2019-07-08

3.3K0

【代码审计】后台Getshell的两种常规姿势

php 安全 http 编程算法网络安全

在早些年刚接触web安全的时候，基础套路都是找注入--找后台--找上传点--找数据库备份--Getshell，然而在代码审计的角度，也存在类似的基本操作。

2019-07-08

8390

点击加载更多

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态