搜索中心

身为拿来主义的忠实拥护者，长亭的各种工具用起来是很香的，xray ，xpoc，牧云，雷池等等工具在工作中是帮了大忙的。这两天长亭的新平台云图上线了，云图的目标是帮助企业做攻击面的管理，理解下来就是，监测查找暴露面，发现暴露面是否有安全问题，这在安全的工作中也是一个持续性的工作。通常最笨拙的方法就是各种资产测绘，子域名挖掘，端口扫描，指纹识别，POC扫描各种工作辅佐来完成这一连串复杂的工作，结果就是“累死人”。

在红队行动中经常会遇到拿到Webshell后找不到数据库密码存放位置或者是数据库密码被加密的情况(需要逆向代码查找解密逻辑)。在此提出两种在从运行时获取所有的数据库连接信息(密码)的方式

Automated attacks, and the speed with which attackers can modify their techniques to avoid detection, continue to put pressure on rule-based systems. This slows detection of new attacks and increases false positives, as rule libraries expand in breadth and complexity trying to keep up with new fraudulent activity.

预览

预览

预览

181人阅读

2024-07-19

一站跟进国内外最新云安全热点资讯~

Openharmony公共事件安全开发

CPG中的数据流图（DFG）的构建过程详解及验证过程

最近链上的TVL很高，Wallet Drainers也越来越活跃了。 自己简单看了下,感觉蛮有趣的，因为最近手中的事情太多了，就简单记录下。

Jumpserver是一个开源的django架构的堡垒机系统，一个常用的第三方组件库django-simple-captcha有泄露随机数种子的问题，再配合Jumpserver使用了错误的随机数方案导致了最终的漏洞。

自己编写工具从百万个方法中寻找 Fasjson Gadget 的过程

对一些 Android 逻辑漏洞的梳理。

Go逆向研究

产品

maltrail

444

0

Maltrail一款功能强大且完全免费的开源恶意流量监测工具，它通过整合公开黑名单、反病毒软件报告及用户自定义特征，高效识别恶意流量。

预览

预览

预览

预览

从人们开始探索代码扫描这件事情开始，市面上就在不断地诞生着各种各样的工具，经过了几年的演变以及发展，对于白盒代码扫描这件事情来说，大家的观念也在逐渐趋同。

Advanced Windows Task Scheduler Playbook - Part.2 from COM to UAC bypass and get SYSTEM dirtectly

一. 概述在本系列的前两篇文章《安全初探》《Web组件安全》中（见公众号），我们了解了UIAbility/Pa

这个系列会记录我用Joern复现真实漏洞的一些过程，同样也是对Joern的深入探索。这里我选用Java-se

看雪论坛作者ID：ngiokweng

ios ppl实现详解

最近WIZ弄了一个云原生的安全挑战赛，刚出来的时候就已经打通关了，年底比较忙，一直没时间写篇文章记录下整个过程，发现这个挑战赛实在是太经典了，所以还是决定写篇文章记录下，顺便谈谈我从中学到的东西和感悟。