1月21日,Kali首次公开发布Rolling版。早前推出2.0(sana)版本时,Kali便切换到了rolling的发布模式,但是rolling版本的升级仅仅向一部分人提供。经过五个月的测试,我们现在对其可靠性非常有信心,而且在里面添加了许多优秀的安全检测工具的最新版本。 与标准版的不同之处 ... 全文 »
一次非常规 SQL 注入(informix-sql)的利用过程:
介绍
一个客户正在寻找升级他们的思科 UCM 软件,并希望保证他们的实现是安全配置的。 在评估期间,我们在 Cisco UCM 管理员门户中发现了一个经过身份验证的 SQL 注入问题。 在大多数情况下,可以使用 SQLMap 或其他工具来自动发现问题。
由于我们是在客户端的开发环境中进行测试的,所以我们被允许对 Cisco UCM 执行更积极的攻击。 我最初使用的 SQLMap 命令如 ... 全文 »
近日,一份关于APT攻击的报告显示,在所有数据泄漏事件当中,黑客平均潜伏的天数长达 205 天。受害企业通常都有一个同样的疑惑:“黑客是如何在我的网络中长期躲藏而不被发现?”。亚信安全通过对APT攻击长期的追踪发现,黑客往往会精心选择隐匿行踪的技巧,而且擅长通过有组织的行动将攻击分散开来,以躲避查杀。针对APT攻击的特 ... 全文 »
笔者最近在挖某应用的漏洞时,恰好遇到了一个SSRF(Server Side Request Forgery)。该应用被托管在Amazon EC2上,项目里使用了Node.js和Express.js,后来我甚至还在上面发现了Needle.js。 手动发掘 在测试过程中,我注意到了该应用的某个函数。它会 ... 全文 »
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 现如今的钓鱼邮件都是通过注册相似的邮箱,或者设置邮箱的显示名称,盼着被害人有看走眼的那一刻,轻信邮件的内容。这种方法需要一定的社工技巧,以及诱导性的语言来诱使被害人上钩。但是对于有一定的经验以及眼力的人来说,还是可以识 ... 全文 »