距离上一次发帖已经是三年前了,差点都忘了自己还有freebuf的账户了……最近在给学生讲Linux下的常规命令的时候,有学生问过,windo...
从SQL注入到幸运域控
背景在某个午后,接到上级的任务需要对某个授权的目标进行渗透测试,于是磨刀霍霍向牛羊。寻找突破口由于这次给的目标范围很窄,只有两个域名跟两个I...
蚂蚁集团诚聘安全研发人才
公司简介蚂蚁集团是一家旨在为世界带来普惠金融服务的科技企业。蚂蚁科技集团股份有限公司(简称:蚂蚁集团)起步于2004年成立的支付宝。2013...
赠书福利 | 2021第一个Flag:拿下这本《白帽子安全开发实战》!
元旦归来,送走了那个艰难的2020,2021如约而至。或许因为2020的“不平凡、太艰难”,大家似乎对2021也充满期待。各种回顾总结、数据...
挖洞经验 | Facebook Messenger向第三方应用泄露用户访问令牌(Access Token)
该篇Writeup讲述作者在测试Facebook Messenger iOS App的过程中,发现Messenger iOS App在调用动...
企业FRP安全实践
一、序1.1 前言近期看到一则消息如下:2020年11月17日上午11:56,某公司发出全员级别的通告。人工智能部AI实验室一名实习生私自将...
基于fiddler插件的代理扫描系统:越权漏洞检测
概述随着现在企业安全水平的提高,单独依赖常规主动扫描器AWVS、APPscan进行企业漏洞扫描越来越难挖掘有效漏洞,越权漏洞在大多数企业中比...
再说零信任
什么是零信任?2010年,由著名研究机构Forrester的首席分析师John Kindervag最早提出了零信任(Zero Trust)的...
门罗币挖矿僵尸网络PGMiner瞄准PostgreSQL
Palo Alto Networks Unit 42 的安全研究员发现了一种基于 Linux 平台的加密货币挖掘僵尸网络,该僵尸网络利用 P...
Terrascan:一款功能强大的代码合规性跨基础设施检测工具
TerrascanTerrascan是一款功能强大的代码合规性跨基础设施检测工具,在配置云端本地基础设施环境之前,广大开发人员可以使用Ter...