5月21日,深圳证监局公布对联储证券有限责任公司采取出具警示函行政监管措施的决定 。深圳证监局表示,根据中国信息安全测评中心出具的信息系统渗透测试报告显示,联储证券存在多项信息安全漏洞。 据了解,中国信息安全测评中心自1998年创立,依据中央授权,测评中心主要开展信息安全漏洞分析与风险评估等,是中央 ...
分类:
其他好文 时间:
2018-05-21 19:43:39
阅读次数:
262
这篇博客简述如何快速识别被第三方应用使用的SQL Server实例,该第三方软件用PowerUpSQL配置默认用户/密码配置。虽然我曾经多次提到过这一话题,但是我认为值得为这一主题写一篇简短的博客,帮助大家解决常见的问题。希望会帮助到那些尝试清理环境的渗透测试人员和网络安全团队。 测试方法总结 默认 ...
分类:
数据库 时间:
2018-05-19 15:47:47
阅读次数:
318
前言: 信息收集是渗透测试重要的一部分 这次我总结了前几次写的经验,将其 进化了一下 正文: 信息收集脚本的功能: 1.端口扫描 2.子域名挖掘 3.DNS查询 4.whois查询 5.旁站查询 CMS识别脚本功能: 1.MD5识别CMS 2.URL识别CMS 原理:cms识别CMS将网站加一些CM ...
分类:
编程语言 时间:
2018-05-19 14:42:34
阅读次数:
892
本指南主要通过介绍一些常用渗透环境,给pentester们以自己修炼的机会,并配合一些常规的pentest tools达到学习目的 名称: WebGoat 项目地址: http://www.owasp.org/index.php/OWASP_WebGoat_Project 简介:OWASP项目,We ...
分类:
其他好文 时间:
2018-05-18 13:45:19
阅读次数:
460
1、什么是XSSXSS攻击全称跨站脚本攻击,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS攻击分成两类:(1)、一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句。(2)、另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞
分类:
其他好文 时间:
2018-05-17 19:16:23
阅读次数:
235
一、背景说明 在前端页面调试或者渗透测试(尤其是XSS)时,我们经常想定位js函数位置;比如点击了某个位置弹出了一个对话框,这是哪个文件的哪个js函数在响应。 本文以Chrome浏览器定位点击事件响应函数为例,介绍定位方法。 二、定位演示 2.1 定位调用的函数 我们点击图中“test”行,然后弹出 ...
分类:
Web程序 时间:
2018-05-14 19:56:33
阅读次数:
345
在渗透中,我们要去评估一个企业或者网络系统的安全性,我们会根据已知对象的任何资源,去发现相关的安全问题,包括信息收集,WEB应用评估,压力测试,数据库评估,逆向工程,社会工程学,无线攻击。 大家都知道,比如我们要渗透一个企业,我们将目标比作一个黑盒,我们会收集所有有关这个目标开放的信息,有远程的渗透 ...
分类:
其他好文 时间:
2018-05-14 00:56:56
阅读次数:
281
公告:博文只是督促自己学习,欢迎各位大佬批评指正!渗透测试标准PETShttp://www.pentest-standard.org1、前期交互阶段2、情报收集阶段3、威胁建模阶段4、漏洞分析阶段5、后期渗透测试阶段6、渗透测试报告应用程序菜单介绍这些任务和活动包括:信息收集:收集有关目标网络及其结构的数据,识别计算机及其操作系统,以及它们运行的服务。识别信息系统中可能敏感的部分。从运行目录服务中
分类:
系统相关 时间:
2018-05-13 15:35:26
阅读次数:
222
Repository模式自2004年首次作为领域驱动设计的一部分引入以来,已经获得了相当多的知名度。本质上,它提供了数据的抽象,以便您的应用程序可以使用具有接口近似的简单抽象一个集合的。从这个集合中添加,删除,更新和选择项目是通过一系列直接的方法完成的,无需处理连接,命令,光标或读取器等数据库问题。 ...
分类:
其他好文 时间:
2018-05-12 11:09:44
阅读次数:
1095
