勒索软件的历史悠久,甚至可以追溯到1980年代后期。如今,勒索软件正为其背后的犯罪集团创造数十亿美元的收入。根据Sophos报告数据,202...
基于ATT&CK的完整信息搜集技巧PRE-Matrix(上)
引言在撰写这一系列文章时,笔者也在思考如何避免假大空的更好地呈现这一框架的内容,如何输出对安全行业有用的具有实操价值的内容。而理解并掌握AT...
中国工商银行软件开发中心网络安全团队诚聘安全人才
工行开发中心网络安全团队,基于金融科技平台,专注于安全体系建设,绘制安全蓝图,打造一体化安全架构,赋能金融科技创新,构建平衡协同的安全生态。...
如何使用MyJWT对JSON Web Token(JWT)进行破解和漏洞测试
MyJWTMyJWT是一款功能强大的命令行工具,MyJWT专为渗透测试人员、CTF参赛人员和编程开发人员设计,可以帮助我们对JSON Web...
挖洞经验 | 通过邀请消息劫持Github组织账号
由于Github组织账号的邀请消息无需任何确认机制,在接收邀请消息前无需任何关于身份的邮件确认,因此,攻击者在一定条件下,可以利用该身份绕过...
福利相伴闹元宵,FVIP会员日活动开始啦!
2020 CIS大会结束后,总有一波未能到场的小伙伴惋惜自己错过了那些行业大咖分享的精彩演讲。因此,会后我们将这些精彩内容以视频形式输出,供...
当爆破遇到JS加密
简述渗透测试过程中,在遇到登陆界面的时候,第一想到的就是爆破。如果系统在传输数据时没有任何加密,没有使用验证码时,还有很大机会爆破成功呢。但...
手把手教你使用Ghidra逆向移动应用程序
写在前面的话众所周知,Ghidra是一个免费的开源软件,可以对包括移动应用程序在内的可执行程序(二进制)进行逆向工程分析。Ghidra支持在...
如何使用HiJackThis来查找恶意软件和其他安全威胁
HiJackThisHiJackThis是一款免费的实用工具,可以帮助广大研究人员搜索恶意软件、恶意广告软件和其他安全威胁。该工具基于原来趋...
如何使用ReconFTW来实现完整的渗透测试信息侦察
ReconFTWReconFTW是一个简单且功能强大的脚本,ReconFTW能够通过各种技术实现子域名枚举的自动化,并进一步扫描其中可能存在...