业务连续性计划
摘要:业务连续性计划 BCP涉及评估组织流程的风险,并创建策略、计划和程序,以最大限度地降低这些风险发生时对组织产生的不良影响。 BCP计划者的目标是通过综合实施策略、程序和流程,将潜在的破坏性事件对业务的影响降至最低。 BCP专注于在降低的或受限的基础设施能力或资源上维持业务运营。只要能连续维护组织执行
阅读全文
posted @
2022-05-09 16:17
看日出的小飞机
阅读(393)
推荐(0) 编辑
逻辑漏洞
摘要:逻辑漏洞: 常见的逻辑漏洞: 交易支付,密码修改,密码找回,越权修改,越权查询,,突破限制等各种逻辑漏洞 不安全的对象引用指的是平行权限的访问控制缺失 A,B同为普通用户,他们之间彼此之间的个人资料应该相互保密的, A的资料如果被B用户利用程序访问控制的缺失而已查看,这就是平行权限的关系。 功能级别
阅读全文
posted @
2022-03-27 18:57
看日出的小飞机
阅读(225)
推荐(0) 编辑
Windows事件ID大全
摘要:事件查看器常见ID代码解释 ID 类型 来 源 代 表 的 意 义 举 例 解 释 2 信息 Serial 在验证 \Device\Serial1 是否确实是串行口时,系统检测到先进先出方式(fifo)。将使用该方式。 17 错误 W32Time 时间提供程序 NtpClient: 在 DNS 查询
阅读全文
posted @
2020-11-26 17:50
看日出的小飞机
阅读(3954)
推荐(0) 编辑
MS14-068域提权漏洞复现
摘要:MS14-068域提权漏洞复现 一、漏洞说明 改漏洞可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限。 微软官方解释: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068
阅读全文
posted @
2020-11-24 09:02
看日出的小飞机
阅读(114)
推荐(0) 编辑
开启3389常用终端命令
摘要:1.查询终端端口xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber通用:regedit /e tsp.reg "HKEY_LOCAL_M
阅读全文
posted @
2020-11-23 19:44
看日出的小飞机
阅读(478)
推荐(0) 编辑
蜜罐系统捕捉黑客操作
摘要:1:蜜罐概述: 蜜罐是一种软件应用系统,用来充当入侵诱饵,引诱黑客前来攻击。 攻击者入侵后,通过监测与分析,就可以知道他是如何入侵的,随时了解针对组织服务器发动的最新的 攻击和漏洞。 蜜网概述:当多个蜜罐被网络连接在一起时模拟一个大型网络,并利用其中一部分主机吸引黑客入 侵,通过监测、观察入侵过程,
阅读全文
posted @
2020-11-23 15:01
看日出的小飞机
阅读(1042)
推荐(0) 编辑
红蓝对抗之Windows内网渗透
摘要:无论是渗透测试,还是红蓝对抗,目的都是暴露风险,促进提升安全水平。企业往往在外网布置重兵把守,而内网防护相对来说千疮百孔,所以渗透高手往往通过攻击员工电脑、外网服务、职场WiFi等方式进入内网,然后发起内网渗透。而国内外红蓝对抗服务和开源攻击工具大多数以攻击Windows域为主,主要原因是域控拥有上
阅读全文
posted @
2020-11-22 09:51
看日出的小飞机
阅读(426)
推荐(0) 编辑
[框架漏洞]Thinkphp系列漏洞【截至2020-07-20】
摘要:一、Thinkphp ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,因为受到众多开发人员的喜爱,其在市场的应用规模很大,自然也引起了众多安全人员的注意。因此在这里,对相关漏洞进行归纳和总结。 指纹为:X-Powered-By: ThinkPHP 二、安全漏洞 1.ThinkPH
阅读全文
posted @
2020-11-03 15:52
看日出的小飞机
阅读(1705)
推荐(0) 编辑
xss
摘要:恢复内容开始 xss 的分类 反射型 (中危) 存储型 (高危) DOM型 (低危) xss 可能存在的地方 只要有交互,带参数的地方都有可能产生漏洞 html attribute url style script 找输入输出的地方 xss测试方法 自动化工具 appscan awvs burpsu
阅读全文
posted @
2020-10-31 19:48
看日出的小飞机
阅读(78)
推荐(0) 编辑
OWASP TOP 10 详解
摘要:https://www.cnblogs.com/cute-puli/p/11099543.html (1)——A1 —— 注入 包括但不限于sql注入、cookie注入、xxe注入等,此类为开发者忽略了客户端对数据库的恶意代码拼接读取造成的危害,可导致非法分子直接获取数据库账号及密码获取管理员权限。
阅读全文
posted @
2020-10-28 10:15
看日出的小飞机
阅读(1362)
推荐(0) 编辑
OWASP Top 10 简单介绍
摘要:什么是OWASP Top 10 OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨
阅读全文
posted @
2020-10-24 11:09
看日出的小飞机
阅读(660)
推荐(0) 编辑
我是如何做渗透的
摘要:首先明确目标, 确定范围:ip,域名, 内外网 时间:跟甲方单位明确渗透的时间,什么时间开始,什么时间结束,周期多长。 甲方单位有没有做监控,有没有做数据备份 渗透到什么程度,要不要挂马?
阅读全文
posted @
2020-10-11 21:00
看日出的小飞机
阅读(192)
推荐(0) 编辑
