会员
周边
捐助
新闻
博问
闪存
赞助商
Chat2DB
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
木讷
1
2
3
下一页
对于OWASP API TOP 10的一些理解
摘要: 前言: OWASP API 安全项目是第一次发布,在查找OWASP API TOP 10相关解读资料的时候,发现中文资料比较少,但是API在万物云化的今天越来越重要,因此考虑自己写点东西以加深自己的理解。 API全称为Application programming interface,意为应用程序编
阅读全文
posted @ 2021-01-27 17:44 木讷
阅读(3017)
评论(0)
推荐(0)
编辑
ATT&CK框架学习(待续)
摘要: ATT&CK模型 ATT&CK是分析攻击者行为(即TTPs)的威胁分析框架。ATT&CK框架核心就是以矩阵形式展现的TTPs,即Tactics, Techniques and Procedures(战术、技术及步骤),是指攻击者从踩点到获取数据以及这一过程中的每一步是“如何”完成任务的。 ATT&C
阅读全文
posted @ 2019-11-18 14:43 木讷
阅读(7322)
评论(0)
推荐(0)
编辑
linux本地内核提权之CVE-2019-13272(鸡肋)
摘要: CVE-2019-13272 发布时间: 2019月7月17日 影响内核版本: Linux Kernel < 5.1.17 漏洞描述: 译文 kernel 5.1.17之前版本中存在安全漏洞,该漏洞源于kernel/ptrace.c文件的ptrace_link没有正确处理对凭证的记录。攻击者可利用该
阅读全文
posted @ 2019-10-22 15:34 木讷
阅读(4498)
评论(0)
推荐(0)
编辑
漏洞复现之JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
摘要: 前言: 序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。 Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObject()方法用于反序列化。 问题的根源
阅读全文
posted @ 2019-08-01 15:33 木讷
阅读(6258)
评论(0)
推荐(0)
编辑
漏洞复现之Redis-rce
摘要: 通过主从复制 GetShell Redis主从复制 Redis是一个使用ANSI C编写的开源、支持网络、基于内存、可选持久性的键值对存储数据库。但如果当把数据存储在单个Redis的实例中,当读写体量比较大的时候,服务端就很难承受。为了应对这种情况,Redis就提供了主从模式,主从模式就是指使用一个
阅读全文
posted @ 2019-07-11 18:46 木讷
阅读(5817)
评论(0)
推荐(2)
编辑
sshd_config参数说明
摘要: SSHD_CONFIG(5) OpenBSD Programmer's Manual SSHD_CONFIG(5)名称 sshd_config - OpenSSH SSH 服务器守护进程配置文件大纲 /etc/ssh/sshd_config描述 sshd(8) 默认从 /etc/ssh/sshd_c
阅读全文
posted @ 2019-06-18 01:42 木讷
阅读(4890)
评论(0)
推荐(1)
编辑
护网小结(持续更新)
摘要: 国庆70周年,护网比去年来得更猛烈了。 近期安全圈最为火热的话题莫过于此。朋友圈各种招人。客观来看,护网对安全市场有着不小的促进作用,各类企业在安全建设方面的投入也会持续增加。有消费才能拉动经济嘛,安全从业者的就业市场也会进一步拓宽。对于圈内的人而言,好处多多。不过这段时间确实辛苦,正式护网还没开始
阅读全文
posted @ 2019-06-07 12:37 木讷
阅读(9140)
评论(1)
推荐(0)
编辑
CVE-2019-2725修复(删包)
摘要: 本来想试试打补丁,但是有些麻烦,而且oracle补丁黑名单的方式总不让人放心。 因此考虑直接删除相关的包。 该方式适用于xmldecoder漏洞系列,如CVE-2017-3506、CVE-2017-10271、CVE-2019-2729 步骤为: 1、停止weblogic服务。 netstat -a
阅读全文
posted @ 2019-05-29 18:40 木讷
阅读(5225)
评论(0)
推荐(0)
编辑
网址收藏
摘要: 渗透导航: https://www.shentoushi.top/knowledge https://www.t00ls.net/navi.html 在线工具集:https://codebeautify.org https://www.uedbox.com/tools/ 勒索软件识别:https:/
阅读全文
posted @ 2019-03-15 10:50 木讷
阅读(1653)
评论(0)
推荐(1)
编辑
SSL/TLS 安全测试
摘要: 本文介绍了使用半自动化工具执行SSL&TLS安全性评估的过程,以及如何使用手动及工具的测试方法验证并发现问题。目的是优化TLS和SSL安全测试流程,帮助信息安全顾问在渗透测试时在TLS / SSL上花费更少的时间。 什么是TLS和SSL? 安全套接层(SSL)和传输层安全(TLS)加密用于通过互联网
阅读全文
posted @ 2019-01-09 14:05 木讷
阅读(13567)
评论(1)
推荐(1)
编辑
1
2
3
下一页
导航
博客园
首页
联系
订阅
管理
公告