HW期间，为防范钓鱼，即日起FreeBuf将取消投稿文章的一切外部链接。给您带来的不便，敬请谅解~背景一年一度的重保活动在即，作为防守方将进行 7*24h 的值守安全设备，防守方主要从“事前排查”...

日期：2021年03月02日作者：宸极实验室介绍：虎符杯的 WP，成功进入线下。小编提示：关注 『宸极实验室』，回复 『虎符-2021』，即可获取全部题目附件。MISC0x01 你会日志分析吗打开日志看到SQL...

在企业经过内部自我资产梳理统计和合规性检查后，邀请渗透测试人员对公司的主要互联网资产进行全面性的渗透测试，查找互联网资产的风险。其测试步骤可以分为三个阶段：第一阶段：渗透测试与公网...

渗透测试阶段信息收集完成后，需根据所收集的信息，扫描目标站点可能存在的漏洞，包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等，然后通过这些已知的漏洞，寻找...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。内容介绍简话安全系列，以浅显易懂的理论术语阐述各种安全漏洞和隐患...

浅谈RASP安全防御技术RASP介绍RASP全称为Runtime application self-protection（运行时应用程序自我保护）。Gartner 在2014年应用安全报告里将RASP列为应用安全领域的关键趋势 ，并将其定义为:...

0x00 简介Exchange Server是微软公司的是一套电子邮件服务组件，是个消息与协作系统，主要提供包括从电子邮件、会议安排、团体日程管理、任务管理、文档管理、实时会议和工作流等协作应用。0x01...

本文作者：中兴沉烽实验室_jqz0x00 背景介绍2020年BlackHat大会上，Joshua Maddux介绍了一种针对SSRF的新颖利用思路，得到了广泛的关注。此类攻击是通过构造一个HTTPS Server，使TLS session中...

记攻防演练经历首先声明本次演练对目标的演练测试全程有授权，文章内容仅供安全研究人员学习提升所用。一、目标选择拿到目标肯定要先选软柿子捏，通常来说大学、医院受攻击面大，安全防护也不够...

信息收集的意义信息收集对于渗透测试前期来说是非常重要的。正所谓，知己知彼百战不殆，信息收集是渗透测试成功的保障，只有我们掌握了目标网站或目标主机足够多的信息之后，才能更好地进行渗透...