API接口是什么？API接口常见的安全问题与安全措施有哪些？ 前言：如今具有开放式的业务体系结构将是下一代网络的重要特征之一。其中，关键的技术之一就是网络控制与应用层之间的应用程序接口(API)。面对API接口的安全问题，我们可以采取几种安全措施... 2022-8-10 17:59:22 | 阅读: 38 | 收藏 | www.secpulse.com 数据 信息 加密 安全 非对称

红蓝对抗-安装包钓鱼与反钓鱼 文件钓鱼是红蓝对抗中红队经常使用的攻击手段，相反蓝队也可以通过反钓鱼的手段来对红队进行反制，获取分值。伴随着邮件沙箱，恶意行为检测等技术的发展，传统文件钓鱼攻击严重增加，可以使... 2022-8-10 14:38:16 | 阅读: 29 | 收藏 | www.secpulse.com 劫持 钓鱼 免杀 反钓鱼 蜜罐

浅析JWT安全问题 重生之我是JWT前不久研究websocket时发现port-swigger出了新的靶场，一看，发现是关于jwt安全的，刚好来总结回忆一下JWT简介Json web token (... 2022-8-10 13:47:13 | 阅读: 28 | 收藏 | www.secpulse.com jwk 攻击 注入 kid 安全

数据库注入提权总结（一） 基础注入联合查询若前面的查询结果不为空，则返回两次查询的值：若前面的查询结果为空，则只返回union查询的值：关键字union select需要字段数对应... 2022-8-10 11:34:11 | 阅读: 39 | 收藏 | www.secpulse.com php database 注入 数据 username

CSDI:培养数字化复合型人才 原创：百林哲导语 麦肯锡曾预测，到2030年全球有8亿工作岗位被机器人（或AI）替代，一些岗位也将会发生重大变化。自动化和智能化对强管理属性、强专业属性和强沟通属性影响较小。未来，... 2022-8-10 10:25:32 | 阅读: 23 | 收藏 | www.secpulse.com 数据 信息 孪生 中国 网络

静态防护技术 静态防护技术是面向App程序组成部分的防护，通过防护程序代码来提高App的安全性。本章主要从两方面介绍静态防护技术:一是针对App源代码的保护技术;二是针对apk文件的加固技术，包括针对dex文件、... 2022-8-8 17:56:54 | 阅读: 41 | 收藏 | www.secpulse.com 加密 虚拟 虚拟机 数据 攻击

再次捕获！重保期间拦截针对Coremail的钓鱼攻击 2022重保进行时，Coremail邮件安全再次捕获针对我司的钓鱼邮件攻击。1重保钓鱼邮件攻击回顾这次红队选择仿冒Coremail IT运维部门，以新型... 2022-8-8 10:24:8 | 阅读: 52 | 收藏 | www.secpulse.com 钓鱼 coremail 安全 攻击 病毒

低版本某远控RCE/LPE漏洞复现 声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产... 2022-8-5 16:36:30 | 阅读: 201 | 收藏 | www.secpulse.com 漏洞 向日葵 端口 远程 sunrce

利用PHP的特性做免杀Webshell 0x01 前言最近很多家厂商都陆续开放了自己的Webshell检测引擎，并且公开接口，邀请众安全研究员参加尝试bypass检测引擎，并且给予奖励，我也参加了几场类似的活动，有ASRC的... 2022-8-5 15:45:56 | 阅读: 36 | 收藏 | www.secpulse.com php bypass 加密 数据 汇集点

SAST 与 DAST：静态和动态应用程序安全测试 什么是SAST，什么是 DAST?SAST(静态应用程序安全测试)是一种白盒测试方法，它直接检查应用程序源代码，可以在编码阶段查找已知/未知的安全漏洞。DAST(动态应用程序安全测试)... 2022-8-5 15:28:54 | 阅读: 21 | 收藏 | www.secpulse.com 安全 dast 漏洞 源代码 误报

Http-Sumggling-缓存漏洞 点击蓝字关注我们当http请求走私和web缓存碰到一起会产生什么样的火花呢，让我们看看在接触Http Sumggling 缓存漏洞前，我们需要先对Http Sumggling... 2022-8-5 15:24:5 | 阅读: 33 | 收藏 | www.secpulse.com te 漏洞 1host sumggling

【漏洞预警】大华IP摄像头重放漏洞 1. 通告信息近日，安识科技A-Team团队监测到大华发布安全公告，修复了其多个产品中的4个安全漏洞，分别为：CVE-2022-30560、CVE-2022-30561、CVE... 2022-8-4 16:4:9 | 阅读: 122 | 收藏 | www.secpulse.com 大华 攻击 漏洞 安全 中间人

一次手动修改shellcode过火绒 ### 前言最近在学习病毒分析，在玉师傅的指导下完成了一次小实验，遂发出来纪念一下。### 环境kali ：192.168.0.108win10：192.168.0.103###... 2022-8-4 14:53:4 | 阅读: 44 | 收藏 | www.secpulse.com 火绒 shellcode 汇编 分段 指令

蓝队防守方战前准备篇（上） 前言未知攻，焉知防。防守方的工作我粗略分为三个阶段，战前准备阶段、演练开始阶段、复盘总结阶段，从目标导向来看，攻击方的工作重心更偏向于演练开始阶段，而防守的工作重心更多的偏向于... 2022-8-4 14:33:3 | 阅读: 36 | 收藏 | www.secpulse.com 安全 攻击 网络 漏洞 信息

对APP逆向抓包的实践 背景基础在对某音国际版的APP抓包分析数据过程中，发现该APP使用了自定义的SSL框架，这就大大提高直接利用现有的框架抓包分析的成本。现成的Xposed框架的JustTrust... 2022-8-3 18:5:48 | 阅读: 97 | 收藏 | www.secpulse.com 数据 安全 脚本 加密 证书

RBCD深度利用之烂番茄 1.RBCD简介本篇文章是在基于资源的约束委派的基础上的一个利用，篇幅会比较短，但个人认为利用面还是挺广泛的。于是就写一下。首先，需要了解的是RBCD的基础知识：可以参考... 2022-8-3 15:36:33 | 阅读: 28 | 收藏 | www.secpulse.com s4u2self msds rbcd 委派

代码审计之逃不过的命运 噩耗传来就这样被你征服，喝下你藏好的毒。。。。真的是爆头【抱头】唱征服。亡羊补牢漏洞复现• 后台增加可执行的语句。• 创建非管理组的用户... 2022-8-3 15:10:18 | 阅读: 40 | 收藏 | www.secpulse.com rulelist addtabs getrulelist dialog strtolower

红蓝对抗经验分享：CS免杀姿势 前言红队在HVV中一般使用钓鱼实现突破边界，蓝队通过钓鱼实现溯源反制，但是都离不开一个好的免杀马，这里分享一下自己的免杀过程，过火绒、360杀毒、windows defender以及... 2022-8-3 14:30:56 | 阅读: 69 | 收藏 | www.secpulse.com 加壳 免杀 bypass 病毒 upx

浅谈程序的数字签名 理论基础数字签名它是基于非对称密钥加密技术与数字摘要算法技术的应用，它是一个包含电子文件信息以及发送者身份，并能够鉴别发送者身份以及发送信息是否被篡改的一段数字串。一段数字签名数... 2022-8-2 17:33:31 | 阅读: 38 | 收藏 | www.secpulse.com 证书 信息 加密 apk 数据

深入浅出Flask PIN 最近搞SSTI，发现有的开发开了debug，由此想到了PIN，但一直没有对这个点做一个深入剖析，今天就完整的整理Flask Debug PIN码的生成原理与安全问题。PIN是什么？P... 2022-8-2 14:43:52 | 阅读: 34 | 收藏 | www.secpulse.com flask getattr machine username 安全