搜索中心

分类

全部

产品

厂商

领域

文章

关联搜索

青藤云安全

文章

十年罕见的高危漏洞“狂躁许可”来袭：青藤THP快速发现、监控受影响资产

让云更安全

青藤，让云更安全

预览

421人阅读

2024-08-09

文章

资产收集对抗-子域名爆破 - 飘渺红尘✨

博客园 - 飘渺红尘✨

子域名爆破,是发现多资产的一个很好的方法,在子域名爆破中,经常会遇到泛解析问题什么是泛解析呢(参考百度百科)? 泛域名解析是：*.域名解析到同一IP。域名解析是：子域名.域名解析到同一IP。这为我们去做子域名爆破,带来了极大的不便,以前子域名爆破常用的是layer子域名挖掘机. 不过layer

预览

509人阅读

2024-07-19

文章

【工具篇】SRC自动化监控赏金项目自动收集资产漏洞检测漏洞推送@laoyue

渗透测试网络安全

laoyue是一款自动化监控收集资产的工具,可以帮助你定期收获资产,敏感信息和漏洞信息，发现安全问题进行自动推送到钉钉。

499人阅读

2024-07-14

文章

甲方安全建设系列之 HTTP 资产清洗

Medi0cr1ty

这里的讨论的资产特指在黑盒视角下被动采集到的数据，比如来自waf、网关、被动代理等http请求日志所对应的资产，并不是主动扫描所发现的domain/ip + port + urlpath这种资产，清洗的结果也主要用于被动扫描，而非主动扫描。

315人阅读

2024-07-13

文章

TscanPlus v1.2 发布 | 新增域名枚举等功能

Tide安全团队

TscanPlus v1.2 发布，新增域名枚举、java编码等功能和诸多Bug。TscanPlus，一款综合性网络安全检测和运维工具，旨在快速资产发现、识别、检测，发现存在的薄弱点和攻击面。

545人阅读

2024-07-14

文章

TscanPlus——一款红队自动化工具

Tide安全团队

一款综合性网络安全检测和运维工具，旨在快速资产发现、识别、检测，构建基础资产信息库，协助甲方安全团队或者安全运维人员有效侦察和检索资产，发现存在的薄弱点和攻击面。

1.6k人阅读

2024-07-14

文章

TscanPlus v1.6 重大更新：任务管理项目化

Tide安全团队

TscanPlus，一款综合性网络安全检测和运维工具，旨在快速资产发现、识别、检测，构建基础资产信息库，发现存在的薄弱点和攻击面。

713人阅读

2024-07-14

文章

云图尝鲜初体验

十有八九

攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性，而这里的所有资产包含已知资产、未知资产、数字资产、企业品牌、泄露信息等等一系列可存在被利用的风险的资产内容。

401人阅读

2023-12-22

文章

云图尝鲜初体验

长亭 Stack

511人阅读

2023-12-04

文章

CVE-2023-47246 SysAid Server文件上传漏洞分析

dnslaoge

SysAid On-Premise是一种 IT 服务管理（ITSM）和 IT 资产管理（ITAM）解决方案，专为企业提供全面的、集成的 IT 管理服务。经过分析发现，该软件存在任意文件上传漏洞，攻击者可以通过上传webshell获取目标系统权限。

367人阅读

2024-02-02

文章

攻击面管理体验日记

Monster

攻击面管理（ASM，Attack Surface Management）是这两年安全行业很火的概念，强调企业应该从攻击者的视角去发现企业暴露在互联网上的资产、持续监测可能存在的安全威胁，最终实现消除外部威胁的目的。

464人阅读

2023-12-20

文章

风险提示｜泛微OA e-cology 前台文件上传漏洞

Jarcis-cy

近期，长亭科技监测到泛微官方发布了新补丁修复了一处前台文件上传漏洞。长亭应急团队经过分析后发现该漏洞类型为文件上传，但是漏洞仅可在内网进行利用。为了方便用户排查受影响的资产，已经根据漏洞原理编写了X-POC远程检测工具和牧云本地检测工具，工具向公众开放下载使用。

487人阅读

2023-07-28

文章

长亭云图：帮助企业管理看不见的攻击面

努力搬砖

这两天长亭的新平台云图上线了，云图的目标是帮助企业做攻击面的管理，理解下来就是，监测查找暴露面，发现暴露面是否有安全问题，这在安全的工作中也是一个持续性的工作。通常最笨拙的方法就是各种资产测绘，子域名挖掘，端口扫描，指纹识别，POC扫描各种工作辅佐来完成这一连串复杂的工作，结果就是“累死人”。

589人阅读

2023-11-08

文章

RCE风险｜金山终端安全系统V9.0 SQL注入漏洞

Jarcis-cy

近期，长亭科技监测到猎鹰安全（原金山安全）官方发布了新版本修复了一处SQL注入漏洞。长亭应急团队经过分析后发现该漏洞可通过SQL注入实现文件写入实现远程代码执行的效果。为了方便用户排查受影响的资产，根据漏洞原理编写了XPoC远程检测工具和牧云本地检测工具，工具向公众开放下载使用。

573人阅读

2023-10-17

文章

长亭云图一款攻击面管理工具

生生

在攻防演练中，很多时候都会给一堆的目标单位，此时攻击队需要先一步步收集这些目标单位的资产比如找备案对应的域名，然后再进行子域名爆破，网站识别，包括指纹识别再发现脆弱点## 等等一系列繁琐的过程。而用长亭云图，只需要输入一个目标单位的名字，即可一键做到上述几点，大大节省了红队的信息收集的时间。

763人阅读

2023-12-05

文章

风险提示｜泛微 e-office 远程代码执行漏洞

Jarcis-cy

近期，长亭科技监测到泛微官方发布了新补丁修复了一处远程代码执行漏洞。长亭应急团队经过分析后发现该漏洞是通过文件上传配合文件包含实现远程代码执行。为了方便用户排查受影响的资产，已经根据漏洞原理编写了X-POC远程检测工具和牧云本地检测工具，工具向公众开放下载使用。

394人阅读

2023-09-26

文章

在野1day风险提示｜宏景人力系统 SQL注入漏洞（内附检测工具）

Jarcis-cy

长亭应急团队监测到CNVD平台发布了北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞（CNVD-2023-08743）的通告，目前供应商发布了安全公告及相关补丁信息，修复了此漏洞。经过分析漏洞后，发现公网仍有较多系统未修复漏洞，长亭应急团队根据该漏洞的原理，编写了X-RAY远程检测工具和本地检测工具供大家下载使用，同时在文章中提供了排查该资产的方式。

592人阅读

2023-05-11

文章

风险提示｜Citrix NetScaler ADC/NetScaler Gateway会话令牌泄漏

Jarcis-cy

近期，长亭科技监测到Citrix官方发布了新补丁修复了一处敏感信息（会话令牌）泄露漏洞。长亭应急团队经过分析后发现可通过缓冲区溢出漏洞导致敏感信息泄露。考虑到Citrix NetScaler设备在网络中的核心作用，建议及时修复漏洞。为了方便用户排查受影响的资产，根据漏洞原理编写了XPoC远程检测工具和牧云本地检测工具，工具向公众开放下载使用。

360人阅读

2023-10-25

文章

风险提示｜GeoServer SQL注入漏洞（CVE-2023-25157）

ykc

近期，长亭科技监测到GeoServer发布新版本修复了一个SQL注入漏洞。经过漏洞分析后，发现公网仍有较多相关系统尚未修复漏洞。应急团队根据该漏洞的原理，编写了X-POC远程检测工具和牧云本地检测工具，同时提供该资产的排查方式，目前工具已向公众开放下载使用。

480人阅读

2023-06-08

文章

云图--解放双手管理攻击面

Callyer

身为拿来主义的忠实拥护者，长亭的各种工具用起来是很香的，xray ，xpoc，牧云，雷池等等工具在工作中是帮了大忙的。这两天长亭的新平台云图上线了，云图的目标是帮助企业做攻击面的管理，理解下来就是，监测查找暴露面，发现暴露面是否有安全问题，这在安全的工作中也是一个持续性的工作。通常最笨拙的方法就是各种资产测绘，子域名挖掘，端口扫描，指纹识别，POC扫描各种工作辅佐来完成这一连串复杂的工作，结果就是“累死人”。

762人阅读

2023-11-07