记一次校内站点的漏洞挖掘测试 0x00 前言这次渗透的对象是一个校内的获奖提交申报平台。不知道什么原因，这个站点未接入深信服waf，所以这次渗透过程异常轻松。0x01 越权首先使用功能点添加一次申报点击编辑，抓包可以看到是使用id... 2023-5-8 10:3:26 | 阅读: 17 | 收藏 | 黑白之道 easyui 29px panelheight 数据 140px

网络安全团队必备的AI新技能 一日千里的AI技术发展让很多科技工作者疲于奔命，甚至谈AI色变，但是对于网络安全人士来说，AI在攻防两端掀起的安全技术革命意味着一次无可避免的技能迭代：无论是防御AI增强攻击还是强化企业AI系统都需要... 2023-5-8 10:3:22 | 阅读: 18 | 收藏 | 黑白之道 安全 攻击 网络 威胁

安卓手机芯片供应商偷偷收集用户数据；因掩盖数据泄露，Uber优步前首席安全官被判三年缓刑； 、安卓手机芯片供应商偷偷收集用户数据据称，一家制造无线电信硬件的跨国高通公司一直在秘密收集私人用户数据。大约三分之一的安卓设备使用了高通制造的芯片，包括三星和苹果智能手机。高通的技术用于各种移动设备，... 2023-5-8 10:3:18 | 阅读: 18 | 收藏 | 黑白之道 数据 uber 安全 无线 黑客

迷你天猫商城漏洞审计 迷你天猫商城是一个基于Spring Boot的综合性B2C电商平台，需求设计主要参考天猫商城的购物流程：用户从注册开始，到完成登录，浏览商品，加入购物车，进行下单，确认收货，评价等一系列操作。作为迷你... 2023-5-7 10:19:38 | 阅读: 22 | 收藏 | 黑白之道 漏洞 log4j 数据 mybatis 攻击

无状态子域名爆破工具（附下载） ksubdomain是一款基于无状态子域名爆破工具，支持在Windows/Linux/Mac上使用，它会很快的进行DNS爆破，在Mac和Windows上理论最大发包速度在30w/s,linux上为16... 2023-5-7 10:19:33 | 阅读: 14 | 收藏 | 黑白之道 ksubdomain 爆破 seebug 发包 网络

ChatGPT强化零信任的十大方法 RSAC 2023讨论最多的话题无疑是新发布的ChatGPT相关安全产品。以ChatGPT为代表的生成式人工智能技术可极大提高威胁分析师、威胁猎人和安全运营中心（SOC）员工的学习和工作效率，这也是网... 2023-5-7 10:19:29 | 阅读: 20 | 收藏 | 黑白之道 安全 生成式 chatgpt 威胁 网络

朝鲜黑客用新版侦察软件布局全球网络间谍；视频VIP一号通？网友：没想到危害这么大！ 朝鲜黑客用新版侦察软件布局全球网络间谍据观察，朝鲜 Kimsuky 黑客组织在全球范围的网络间谍活动中使用了新版本的侦察恶意软件，现在称为“ReconShark”。Sentinel Labs 报告称，... 2023-5-7 10:19:24 | 阅读: 26 | 收藏 | 黑白之道 信息 reconshark 攻击 犯罪

实战 | 记一次不寻常的403绕过 今天我们来看看我今年早些时候进行的一项外部渗透测试。由于保密协议，我们将使用常用域名redacted.com因此，为了给测试提供一些背景信息，它完全是黑盒子，客户提供的信息为零。我们唯一知道的是我们被... 2023-5-6 10:3:24 | 阅读: 37 | 收藏 | 黑白之道 403 绕过 控制 信息 破解

OWASP API安全 TOP10 伴随企业数字化程度的加深，API成为软件世界数据交互的“通用语言”，其数量迎来爆发式增长。同时，API的广泛应用也为运维可见性、安全性提出了新的挑战。针对API这种“易攻难守”的新兴资产的安全治理显得... 2023-5-6 10:3:20 | 阅读: 16 | 收藏 | 黑白之道 攻击 安全 攻击者 信息 漏洞

远程办公时不可或缺的8种安全工具 自新冠疫情暴发以来，很多企业不得不选择远程办公或混合办公模式。然而确保远程办公的网络安全是一项具有挑战性的任务。一方面，传统内网流量默认可信的边界信任模型已无法适应远程办公企业的IT架构，并且暴露出明... 2023-5-6 10:3:16 | 阅读: 23 | 收藏 | 黑白之道 安全 远程 网络 攻击 数据

OpenAI 曝新漏洞，允许新用户“无限试用”；给 AI 上“紧箍咒”，美国斥资 1.4 亿美元成立 7 个国家级科研机构 OpenAI 曝新漏洞，允许新用户“无限试用”通过该漏洞，用户可以免费获得无限的信用额度来测试不同的OpenAI项目，包括ChatGPT。不久前，OpenAI 为了让用户尝试其他开放的人工智能项目，特... 2023-5-6 10:3:13 | 阅读: 18 | 收藏 | 黑白之道 额度 漏洞 美国 openai

一个有点好用的信息收集工具 功能domainscan调用 subfinder 被动收集，调用 ksubdoamin 进行 dns 验证泛解析、CDN 判断获取 domain 相关的 web（host:port）资产，使用 web... 2023-5-5 10:9:37 | 阅读: 52 | 收藏 | 黑白之道 webscan 爆破 模块 pocscan

实战中各种SQL注入的绕过姿势 0x01 %00绕过WAF输入一个单引号页面报错首先闭合，这里用')闭合keywords=1') %23order by x 被拦截，用--%0a代替空格即可直接上union select会一直卡着，... 2023-5-5 10:9:33 | 阅读: 26 | 收藏 | 黑白之道 拦截 绕过 updatexml 注入 数据

关键信息基础设施安全防护五大对策措施 关键信息基础设施安全防护五大具体对策措施一、加强关键信息基础设施安全保护工作的组织领导 1、建立关键信息基础设施安全保护工作的组织领导体系，落实网络安全责任制。保护工作部门要建立健全网络安全工作的组织... 2023-5-5 10:9:29 | 阅读: 17 | 收藏 | 黑白之道 安全 网络 信息

黑客借助 WinRAR 擦除乌克兰国家机构的数据；苹果、谷歌两大巨头联手打击蓝牙位置跟踪器； 黑客借助 WinRAR 擦除乌克兰国家机构的数据据了解，俄罗斯“沙虫”黑客组织与对乌克兰国家网络的攻击有关。在该网络攻击中，WinRAR 被用来破坏政府设备上的数据。在一份新的通报中，乌克兰政府计算机... 2023-5-5 10:9:25 | 阅读: 21 | 收藏 | 黑白之道 网络 攻击 winrar 脚本 airtag

New 更新一款Weblogic利用Tools支持内存马注入、RCE漏洞检测、密码解密等…（附下载） 工具简介迫于目前现有的weblogic工具没怎么更新、payloay jdk适用版本等问题，所以基于superman18、sp4zcmd等项目，写一个weblogic工具，工具运行版本要求jdk 8，... 2023-5-4 14:18:36 | 阅读: 22 | 收藏 | 黑白之道 jrmp 漏洞 weblogic bcprov jndi

常见的登录逻辑漏洞总结 1.采用弱密码或者无密码进行登录（弱口令）比如：管理员账号：admin密码：admin/123456/010203测试账号：111密码：111万能账号：admin' or '1'='1（登录的sql注... 2023-5-4 14:18:33 | 阅读: 19 | 收藏 | 黑白之道 账号 修复 攻击 攻击者 爆破

关保要求5月1日正式实施，动态、主动防御系统利好！！！ 习总书记指出：“网络安全的本质在对抗，对抗的本质在攻防两端能力较量”。网络战不是我们想不想打的问题，而是必须有效应对的问题。为有效应对敌对势力的网络战威胁，保卫国家安全。为此我国第一个关键信息基础设施... 2023-5-4 14:18:28 | 阅读: 15 | 收藏 | 黑白之道 安全 攻击 网络 信息 攻击者

报告出炉！中情局用5种手段在超50国策划“颜色革命”;男子雇佣“黑客”恢复聊天记录，4000元换来的却是一只插座 报告出炉！中情局用5种手段在超50国策划“颜色革命”美国中央情报局（Central Intelligence Agency，简称CIA），一个比美国国家安全局（NSA）更为世人熟知的名字，它是美国联邦... 2023-5-4 14:18:25 | 阅读: 27 | 收藏 | 黑白之道 美国 攻击 网络 cia

一款漏洞查找器（挖漏洞的有力工具） VulFi，即“漏洞发现者”，它是一个IDA Pro插件，可以帮助广大研究人员在二进制文件中查找漏洞。它的的主要目标是在一个单一视图中给研究人员提供包含了各种函数交叉引用的相关信息。对于可以使用Hex... 2023-5-3 10:40:54 | 阅读: 28 | 收藏 | 黑白之道 vulfi 漏洞 数据 呼叫