搜索中心

厂商

测试厂商11

37

0

测试厂商11

怎么回事，都4202年了，斯叔不允许还有人不会对API接口进行渗透测试。 ·show time 其实这种api的测试各大厂商都有对应的自动化工具了，以绿盟为例，我看在绿盟的朋友用的EZ（类似于xray的一款工具）里面就直接集成了对api的扫描测试，可以通过调用对应的参数实现躺着收洞。

众所周知，Cobalt Strike是一款在渗透测试活动当中，经常使用的C2(Command And Control/远程控制工具)。而Cobalt Strike的对抗是在攻防当中逃不开的话题，近几年来该领域对抗也愈发白热化。而绝大多数厂商的查杀，也是基于内存进行，然而其检测方式的不当，导致非常容易被Bypass，包括但不限于

雷池社区版可谓是开源WAF界冉冉升起的一颗新星，在Github上仅仅发布了一年便成功超越了开源WAF界的老大哥ModSecurity，以8.3k+的Star数高居Github榜一，如今装机量已近10w。

预览

49人阅读

2024-04-11

产品

长亭渗透测试服务

长亭科技

41

0

拥有专业技术团队，采用攻击者视角，通过模拟入侵识别评测目标中的不安全因素， 优先攻击者发现系统漏洞并协助企业进行修复，防患于未然。

厂商

联软

45

0

深圳市联软科技股份有限公司（简称“联软科技”）创立于2004年，专注于企业级网络安全市场，围绕端点安全、边界安全和云安全，为政企客户提供网络安全产品和服务，打造了网络准入控制、终端安全管理、数据防泄露、数据安全摆渡、软件定义边界、网络入侵检测、移动端安全管理、云主机安全管理、互联网安全监控 SaaS 平台、网络空间资产测绘、终端检测与响应等产品的综合安全解决方案。 19年来，联软科技从全球较早的网络准入控制厂商之一，成长为中国企业端点安全领域领导者、中国UEM统一终端管理领域领导者、国产自主可控的网络安全新基建领军厂商、并成为国内率先落地基于“零信任安全”产品的厂商之一。联软科技聚焦防泄密、防勒索(入侵)、全网零信任三大核心赛道全速向前，为政企客户数字化转型筑牢安全防线。目前，联软科技拥有1000多名员工，其中研发及工程技术人员800多人，占比超80%。 2019年，联软科技并购魔方安全，获得了以攻击者视角对全网暴露面进行主动持续监控与管理的能力，正式进入网络攻防领域，致力于以攻防全局视角，改变现阶段攻防力量不平衡的网络安全环境。

产品

测试产品

江民科技

48

0

测试产品

Burp Scanner的功能主要是用来自动检测web系统的各种漏洞，我们可以使用Burp Scanner代替我们手工去对系统进行普通漏洞类型的渗透测试，从而能使得我们把更多的精力放在那些必须要人工去验证的漏洞上。

产品

渗透测试

知道创宇

47

0

模拟黑客攻击对业务系统进行安全性测试，比黑客更早发现可导致企业数据泄露、资产受损、数据被篡改等漏洞，并协助企业进行修复。

模糊测试

领域说明

静态应用安全测试

自动化渗透测试

Rad则是一款基于手动测试的漏洞扫描工具，可以在扫描过程中通过手动测试来发现更多的漏洞。 将这两款工具协同使用，可以提高漏洞发现的效率和准确性。具体而言，可以先使用xray进行自动化扫描，发现Web应用程序中的一些基础漏洞，并利用xray提供的Payloads来尝试利用漏洞。然后使用Rad进行手动测试，利用Rad提供的代理工具来截取和修改请求，发现更深层次的漏洞

近日，长亭科技雷池（SafeLine）产品通过了互联网安全研究中心测试，获得WEB应用防火墙OWASP认证证书！OWASP所推出的“OWASP Web应用防火墙认证”，是目前全球最全面的针对Web应用防火墙的认证，覆盖包括检测能力、防御能力、性能、自身安全、用户习惯等多个方面的WAF产品各个方面的综合测试，被视为WEB应用安全领域的权威参考。

远控工具在黑客攻击、渗透测试、红蓝对抗、攻防演练等场景中被广泛应用，针对远控类攻击的研究及检测刻不容缓，常见远程管理控制工具包括MSF、CobaltStrike、Armitage等。

在一次众测项目中，对某大型企业的某套数字化平台系统进行测试，前端功能简单，就一个登录页面，也没有测试账号，由于给的测试时间不多，倒腾了半天没有发现有价值的漏洞，在快要结束的时候，试了几个报错，发现是Spring Boot框架的，仿佛间看到曙光，后续也顺利拿下RCE。通过本文的分享，希望能给大家获取到一些思路和帮助~~

雷池WAF，基于智能语义分析的下一代 Web 应用防火墙 使用情况 我司于2023年4月23日对雷池进行测试，测试一个月后，于2023年5月24日对雷池进行正式切换，此时版本为1.5.1。 经过一年使用，无故障无宕机无黑客事件，国产最强免费WAF当之无愧！

预览

预览

预览

预览

126人阅读

2024-07-15

最近赶上国内某重大网安活动，要给几个客户推荐一些免费好用的安全产品，WAF 是其中之一。 攻击防护是 WAF 最核心的能力，本文将介绍如何使用科学的方法测试 WAF 防护能力的有效性。 为了保证测试结果公平公正，本文中提到的所有靶机、测试工具、测试样本均为开源项目。

在互联网上公开能找到资料的 WAF 项目少说也有几千个，但其中绝大部分偏实验 Demo 的性质，工程性不足，缺少部署案例，没有经历过大规模流量的验证，实际能称得上产品的项目不到百分之一。翻阅了大量资料，对这几十款 WAF 产品进行实际部署测试后，我选取了其中十个具有代表意义的项目，下文将逐一进行介绍。

APIDetector是一款针对Swagger的强大安全扫描工具，该工具可以帮助广大研究人员高效扫描和识别目标Web域名及子域名中暴露的Swagger节点。该工具是一款智能化工具，专为安全专家和开发人员设计，可以有效地执行真的Swagger的API安全测试和漏洞扫描。

SpringSecurity 是在java开发中，很常用的一个库，用于身份验证、授权和安全性等功能上，在我们白盒测试的时候，可以通过分析代码是否使用SpringSecurity，从而来寻找是否存在权限绕过的漏洞。本文将介绍一些SpringSecurity常见的权限绕过漏洞。

Windows 的提权是在攻防对抗中绕不开的话题，本文针对 Windows 操作系统的本地提权手段原理以及方式进行梳理介绍。提权是后渗透中的一个重要环节，在权限较低的情况下，站在攻击者的视角进行内部网络安全测试、系统安全测试、应用安全测试等方面会受到限制。

无聊的时候和宝塔开发聊天，听他说了宝塔在开发一个基于底层的 rasp，拦截所有基于 www 权限的命令执行。最近总算上线了，我稍微测试了一下，效果确实不错：

在打攻防演练的时候偶尔会遇到目标内网资产采用集群化部署的情况(GuoQi偏多)，在这种情况下由于刷分需求就需要对集群进行攻击测试以争取控制整个集群，本篇文章将从K8s的基本概念、主要组件、架构和安全评估测试方法等维度对K8s的安全进行系统性介绍

GAP-Burp-Extension是一款功能强大的Burp扩展，该工具在getAllParams扩展的基础上进行了升级，该工具不仅可以帮助广大研究人员在安全审计过程中扫描潜在的参数，而且还可以搜索潜在的链接并使用这些参数进行测试，然后生成一个针对性的字典用于模糊测试。

OWASP(开放式Web应用程序安全项目)是一个开源、非盈利性的全球性安全组织，对所有致力于改进Web应用程序安全的人士开放，旨在提高对应用程序安全性的认识。其最具权威的就是”10项最严重的Web应用程序安全风险列表“，总结并更新Web应用程序中最可能、最常见、最危险的10大漏洞，是开发、测试、服务、咨询人员应知应会的知识。

​ 在刚接触安全渗透的时候，常对于各种各样庞杂的技术感到有些头皮发麻，sql注入、xss、csrf、ssrf等一众名词也让人有些望而却步。后来在前辈的指引下认识到了 sqlmap，nmap 等工具，在进行了一段时间的学习后，慢慢对 sqlmap 的其中一个参数非常的感兴趣—— m 参数，也就是对文件中存在可注入的链接进行注入测试，这种批量的扫描漏洞的行为极大的激发了我学习的兴趣，同时也想要找到比 sqlmap 能更加准确，扫描切入点更多的工具。

产品

RayBox 网络安全单兵侦测系统

远江盛邦

29

0

网络安全单兵侦测系统（RayBox）是一款针自动化渗透测试与安全应急装备。

产品

代码审计

知道创宇

38

0

帮助企业从安全角度对应用系统的所有逻辑路径进行测试，通过分析源代码，充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。

产品

堡塔云 WAF

宝塔

57

0

免费的WAF防火墙，首个支持ARM国产系统的WAF防火墙，有超高自由度的自定义拦截规则和可灵活配置各种限制访问，有效防CC攻击、防恶意采集、防刷接口等常见攻击和黑客渗透测试行为，为您的业务网站保驾护航

产品

安全开发

绿盟科技

65

0

绿盟科技应用开发安全生命周期管理服务，以应用开发生命周期的架构为基础，对现有系统开发过程中所涉及到的安全操作进行概括、补充和完善，并将安全设计、安全编码、安全测试以及安全事件响应的传统安全技术融入到产品需求分析、架构设计、开发实现、内部测试、第三方测试和人员知识传递等应用开发生命周期的典型阶段中，从而系统地识别和消除各个阶段可能出现的来自于人员知识和技能、开发环境、业务逻辑所带来的信息安全风险。

产品

山石静态数据脱敏系统

山石网科

24

0

山石静态数据脱敏系统通过先进高效的脱敏技术，结合自动发现、智能梳理和内置规则等功能，对敏感数据进行数据抽取、数据漂白，帮助用户解决生产数据面向测试、开发、培训和数据共享场景的数据脱敏需求。

厂商

永信至诚1

42

0

永信至诚成立于2010年，主要从事网络安全前沿技术研究、产品研制和安全服务。依靠专业的网络安全渗透测试技术和健全的技术预研、产品研发、服务支撑三大体系，奠定网络

厂商

薮猫科技

46

0

杭州薮猫科技有限公司作为互联网安全领域创新型企业，专注于为企业提供专业的数据安全解决方案。通过创新终端威胁检测与响应系列产品以及渗透测试、安全审计、数据咨询等服务，构建数据安全的更高标准，全方位保护企业数据资产，让企业数据更安全。伺隙，而动。We listen, we hunt. 薮猫科技，期待你的加入！

产品

信数数据脱敏系统

亚信安全

39

0

信数数据脱敏系统AISDM，由敏感数据发现、静态脱敏、后台运维动态脱敏三大主要子系统组成，基于多种探测规则，精确发现敏感数据，通过脱敏规则对数据进行去隐私化处理，从源头上保护了政府和企业的数据安全。 通过脱敏规则对敏感信息进行数据变形，实现敏感隐私数据的可靠保护，保障用户在开发、测试和其它非生产环境以及外包开发环境中安全地使用脱敏后的真实数据集。

厂商

火绒安全

48

0

火绒安全成立于2011年9月，是一家专注、纯粹的安全公司，致力于在终端安全领域，为用户提供专业的产品和专注的服务，产品功能涵盖“恶意代码防护”、“系统防护”、“网络防护”、“身份鉴别”、“资产管控”、“入侵防范”等，并持续对外赋能反病毒引擎等相关自主研发技术。 2012年，火绒安全推出免费个人产品，凭借“专业、干净、轻巧”的特点收获良好的用户口碑；经过6年技术打磨和经验沉淀后，火绒安全于2018年正式推出企业版产品，并在线上线下同时试销，仅两年就有上万家企业用户参与试用购买，覆盖金融、医疗、公检法等50余类细分行业和单位机构。 截至目前，火绒安全已建立起包含研发、产品、测试、运营、市场、商务在内的完整团队，具备健全的企业架构，可向用户提供成熟的终端安全产品和配套的安全服务。随着业务和产品的拓展，火绒安全团队的规模还在不断扩大中。

静态应用安全测试

产品

雳鉴 IAST

默安科技

47

0

默安科技雳鉴 IAST 专注解决软件安全开发流程中测试阶段或上线阶段的应用安全问题。

产品

知道创宇ScanV

知道创宇

51

0

基于AI+大数据的下一代网络安全监测治理平台.

产品

云图 Cloud Atlas

长亭科技

243

0

云图 (Cloud Atlas) 攻击面管理运营平台，听于无声 见于无形，复杂世界里的风险管理

产品

xray

长亭科技

43

0

一款完善的安全评估工具，支持常见 web 安全问题扫描和自定义 poc | 使用之前务必先阅读文档

产品

xapp

长亭科技

272

0

专注于web指纹识别的工具

产品

RayWSS 便携式漏洞评估系统

远江盛邦

60

0

便携式漏洞评估系统（RayWSS）是一款便携式综合漏洞发现与评估系统。

产品

CORAS

蜚语科技

40

0

CORAS 下一代代码安全分析平台

产品

雳鉴 SAST

默安科技

22

0

雳鉴SAST专注解决软件安全开发流程中开发阶段或上线前的代码安全问题。

产品

尚付 - 云原生保护平台

默安科技

51

0

尚付云原生保护平台跨越多云和混合云环境，提供从开发到运行时的全方位保护，确保基础设施、微服务网络、工作负载以及应用和数据的安全。

某公司平台系统存在敏感信息泄露漏洞，由于对swagger-ui未做好访问控制措施，导致攻击者可以通过swagger页面获取网站API信息，进而导致攻击者构造payload对系统API进行攻击。

预览

预览

61人阅读

2024-03-15

厂商

爱加密

40

0

爱加密是专业的移动信息安全服务提供商，专注于移动应用安全、大数据、物联网及工业互联网安全，坚持以用户需求为导向、持续不断的创新，致力于为客户提供全方位、一站式的移动安全全生命周期解决方案。爱加密的服务宗旨是通过革新性安全方案和7x24小时全天候的专业服务，打造和谐、强大、高度安全的万物互联生态环境。

产品

问津

长亭科技

41

0

问津安全大模型通过长亭独家知识与能力，包含漏洞情报、威胁分析引擎、可自配置的知识库，并结合大语言模型的能力，可快速落地、任意场景、全天待命解决信息和安全工具之间的碎片化问题，全面提升安全运营效率

产品

rad

长亭科技

34

0

一款专为安全扫描而生的浏览器爬虫

资产测绘

众测

厂商

华顺信安

54

0

北京华顺信安科技有限公司是一家以网络空间测绘技术为基础，聚焦于安全大数据和网络空间资产安全的高科技企业。华顺信安从网络空间资产维度出发，洞察网络空间安全本质，在为国家网络空间防线提供基础安全能力支撑，同时以优质的产品和服务帮助政府和企事业单位增强实战能力，优化网络安全防护体系。华顺信安公司总部位于北京，在上海、深圳、长沙、成都、武汉等多地设有分支机构。目前，华顺信安已经完成C轮融资，融资规模达数亿元。

厂商

知道创宇

67

0

北京知道创宇信息技术股份有限公司，是一家立足攻防一线，与客户并肩战斗，拥有“实战对抗”能力的网络安全公司。知道创宇成立于2007年，由数位资深安全专家创办，以“AI+安全大数据”为底层能力，为客户提供云防御、云监测、云测绘产品与服务。未来，知道创宇将致力于为客户提供安全网络。 知道创宇员工1800多人，总部位于北京，在北京、成都、武汉设有三大技术中心，国内销售和技术服务覆盖华北、华东、华中、西部、香港等地区，设有数十个分公司和办事处，可随时响应客户突发的各种安全需求。

厂商

蔷薇灵动

53

0

北京蔷薇灵动科技有限公司（简称“蔷薇灵动”）成立于2017年，主要专注于网络安全领域微隔离技术的前沿探索与研究，凭借专业的产品与服务为数据中心用户提供东西向（内部）流量解决方案，是零信任技术领域长期主义者。