202009-07 红队”武器库”参考指南 140 VIEW 给大家推荐一个项目 https://github.com/Mr-xn/Penetration_Testing_POC 用来找一下EXP、POC还可以,更新也比较频繁。 红队"武器库"参考指南 花了几个小时,大概把这本书过了一遍,然后记录一些知识点,所以这篇文章感觉就像是.... Read More >
201907-22 浅谈渗透测试和红队的区别 230 VIEW 最近在各种安全相关的资讯或者技术文章中,越来越多的提到渗透测试(Penetration Testing)和红队(Red Team)这个两个词,而且很多地方是把这两个词的意思混为一体,认为是相同的东西。虽然这两者在方法和实施过程中存在一定相似甚至重合的部分,但是渗透测试和红队还是存在一些本质的差异。本文将分别对两者进行定义和描述,方便企业根据自身安全需求选择合适的安全服务,也能以此识别那些打着红队幌.... Read More >
201906-27 如何写好一份渗透测试报告? 130 VIEW 当你连续奋战了好几天,终于合上了笔记本,想要出去透透风时,一个熟悉的问句传来:“你好,请问什么时候可以交付报告?” 有成千上万的书籍讲解什么是信息安全,什么是渗透测试,也有数不清的培训课程视频。但是,我敢打赌,在这些材料中,只有不到10%是在讲写报告的事情。在一个完整的渗透测试过程中,有将近一半的.... Read More >
201904-18 黑客秘笈-渗透测试实用指南 第三版 1546 VIEW 黑客秘笈-渗透测试实用指南 第三版 目录 前言 提示和免责声明 介绍 渗透测试团队与红队 总结 第1章 赛前准备——安装 假定攻破练习 设定你的行动 设置你的外部服务器 红队的核心工具 Metasploi.... Read More >
201904-18 渗透测试工具收集整理 250 VIEW 适用于渗透测试不同阶段的工具收集整理 内容 侦察 武器化 交货 命令与控制 横向运动 建立立足点 升级特权 数据泄露 杂项 参考 该资源清单列表涵盖了一系列,适用于渗透测试不同阶段的开源/商业工具。如果你想为此列表添加贡献,欢迎.... Read More >
201904-18 OSCP渗透测试认证经验分享 657 VIEW “120天的旅程即将结束,以一场历时24小时没有选择题的考试,收获屠龙路上第一座里程碑。…” 这是我通过OSCP认证考试时,第一时间的感受。自豪和欣喜之情不亚于2008年我拿下CCIE R&S的时候。 关于 PWK (Pentesting with Kali Linux) 和OSCP (Offensive Security Certified Professional),我想很多人会觉着陌.... Read More >
201811-24 渗透测试学习之路 404 VIEW 最近发现很多小伙伴都在问我想要学习渗透测试,但是不知道怎么开始,也不知道要学习什么?所以在这里我打算分享一下我的渗透学习之路以及给初学者的一些建议。 我的学习之路 转眼间,我从学习渗透测试到工作也快六年了,记得刚开始接触安全是在 2012 年初,刚进入实验班的时候,在之前曾经在图书馆借了一本《黑客笔记》来看,回到寝室看了两页,完全一脸懵逼,一点看不懂,然后就原封不懂的还回去了。我考入大学时.... Read More >
201810-05 满满的干货,代码审计资料整理免费分享! 182 VIEW 做过渗透测试的朋友们总能知道代码审计的重要性,当你还在盲目黑盒测试的时候,别人早已提交漏洞获得赏金。 黑盒测试:功能测试,不接触代码的情况下测试系统的功能是否有bug,是否满足设计需求 白盒测试: 就是代码审计,以开放的形式从代码层面寻找bug 代码审计(Code audit)是以发现程序错.... Read More >
201809-11 可能是网上最易懂的SQL手工注入教程【个人笔记精华整理】 149 VIEW 我是技术不高,但我能带你入门 我遇到过无数人曾来像我表示自己想学网络安全,走了很多弯路,求师被骗过很多钱。 这样的人我没办法帮助太多,限于时间精力与能力,帮得了1个帮不了100个,再说我也不是昔日的雷锋了。 如今我也基本上不做渗透了,回过头看到几年前自己笔记中有一些注入笔记,虽然我没有大牛水平.... Read More >
201809-06 简谈渗透测试各阶段我常用的那些“神器” 314 VIEW PS:本文仅用于技术分享与讨论,严禁用于非法用途 本文源自:华盟网 前言 本人所有文章都很用心的写作完成,并时常总结如何分享更有用的东西给朋友们。这篇更是如此,晚上准备到凌晨四点开始写作,为了需要的朋友而写,不喜欢的右上角点叉不要像上次文章一样在下面喷粪逼我骂你,另疏漏之处欢迎有心的道.... Read More >
201808-04 渗透之路 175 VIEW 最近发现很多小伙伴都在问我想要学习渗透测试,但是不知道怎么开始,也不知道要学习什么?所以在这里我打算分享一下我的渗透学习之路以及给初学者的一些建议。 我的学习之路 转眼间,我从学习渗透测试到工作也快六年了,记得刚开始接触安全是在 2012 年初,刚进入实验班的时候,在之前曾经在图书馆借了一本《黑客笔记》来看,回到寝室看了两页,完全一脸懵逼,一点看不懂,然后就原封不懂的还回去了。我考.... Read More >
201807-12 前17名最喜欢的操作系统黑客(2017年名单) 微软支付24000美元黑客黑客Outlook帐户 Vodafone说黑客有进入银行详细信息的1,827客户在最近的攻击 病毒在糖果粉碎和其他热门游戏攻击Android用户 找出最先进的操作系统的黑客攻击 -如果你在黑客真正感兴趣的,那么本文将帮助你哪个已知的操作系统被黑客使用。 几乎所有.... Read More >
201807-06 信息安全工具集合 简介 安全行业小工具收集项目,此项目内容来自:https://www.t00ls.net/thread-38964-1-1.html 感谢其分享,这里只是作为个人备份,如有问题可邮件通知。 漏洞及渗透练习平台 WebGoat漏洞练习环境 https://github.com/WebGoat/WebGoat https://github.com/WebGoat/WebGoat-Lega.... Read More >
201806-10 CVE-2018-8174 “双杀”0day漏洞复现 最近360核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击,捕获到了全球首例利用浏览器0day漏洞的新型Office文档攻击,我们将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都可能中.... Read More >
201805-31 PDF中的Javascript利用 136 VIEW Pdf文件是应用广泛的一种文件格式,发展至今已经到了2.0版本,其功能也得到了不断丰富,很多鲜为人知的功能可能会被利用实施恶意行为。本文将简单介绍在pdf文件中嵌入Javasript脚本的利用方式。 文章目录 一、PDF中的Javascript利用 二、pd.... Read More >
201805-29 Adobe双重释放安全漏洞(CVE-2018-4990)的0day利用样本分析 本文是翻译文章,文章原作者,文章来源:https://srcincite.io/ 原文地址:https://srcincite.io/blog/2018/05/21/adobe-me-and-a-double-free.html 译文仅供参考,具体内容表达以及含义原文为准 .... Read More >
201805-29 黑客也乌龙 | 上传恶意文件时无意泄露两个0-day,被研究人员抓个正着 70 VIEW 一个未知的黑客组织在向公开恶意软件扫描引擎上传一个用于攻击的 PDF 文件时,无意间泄露了两个 0-day 漏洞。漏洞被研究人员捕获,并及时上报给厂商修复。 <img alt="Zero-days-ESET.png" src="http://image.3001..... Read More >
201805-29 CVE-2018-4990 漏洞详情分析 356 VIEW 建议大家关注Adobe Acrobat/Reader代码执行漏洞 (CVE-2018-4990) 等,Adobe Acrobat/Reader是PDF文档阅读和编辑软件。此漏洞的利用样本已经曝光,后续可能存在被黑客大规模利用攻击的可能性。请受影响用户及时下载更新。 Adobe Acrobat/.... Read More >
201805-17 很棒的渗透测试资源的集合 358 VIEW A collection of awesome penetration testing resources http://bobao.360.cn/news/detail/1132.html 一组很棒的渗透测试资源,包括工具、书籍、会议、杂志和其他的东西 目录: 在线资源 渗透测试资源 Sh.... Read More >
201805-12 超棒应用程序安全清单 English Version 学习应用程序安全性的资源列表,包含书籍,网站,博客文章和自我评估测验等,由Paragon Initiative Enterprises公司维护,由应用安全开发社区贡献,我们其他社区项目可能对未来的应用安全领域也有用哦,如果你是应用安全的小白,那可能会从深入浅出讲应用.... Read More >
201805-12 超棒黑客必备表单 一份精美的黑客必备表单,灵感来自于超棒的机器学习,如果您想为此列表做出贡献(欢迎),请在github给我一个pull或联系我@carpedm20,有关可供下载的免费黑客书籍列表,请点击此处。 转载自https://github.com/sunnyelf/awesome-hacking 目录 系统方面 教程 工具 Docker 常用 逆向方面 .... Read More >
201804-11 近年来APT组织使用的10大(类)安全漏洞 概述 APT攻击(Advanced Persistent Threat,高级持续性威胁)是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在精确的信息收集、高度的隐蔽性、以及使用各种复杂的目标系统/应用程序漏洞等方面。.... Read More >