4.16. Web Cache欺骗攻击 4.16.1. 简介 4.16.2. 漏洞成因 4.16.3. 漏洞利用 4.16.4. 漏洞存在的条件 4.16.5. 漏洞防御 4.16.6. Web Cache欺骗攻击实例 4.16.6.1. Paypal 4.16.7. 参考链接 4.16. Web Cache欺骗攻击 4.16.1...

网络攻击介绍——Cyber Space Kittens 红队的 Web 应用程序攻击 聊天支持系统实验 网络攻击介绍——Cyber Space Kittens 在完成侦察和发现之后，你回顾所有你发现的不同站点。浏览结果时，你没有发现常见的可进行漏洞利用的服务器或配置错误的应用程序。没有任何 Apache Tomcat 服务器或 Heartblee...

检测能力说明（持续更新 ..） OWASP TOP 10 覆盖说明 OpenRASP 零规则检测算法介绍 覆盖场景说明 1. 数据库: SQL注入 2. 数据库: 慢查询（已废弃） 3. 任意文件上传 4. 敏感文件下载、任意文件读取 5. 文件目录列出 6. 扫描器探测行为 [官方插件不支持] 7. CSRF [暂无计划支持] 8. Co...

检测能力说明（持续更新 ..） OWASP TOP 10 覆盖说明 OpenRASP 零规则检测算法介绍 覆盖场景说明 1. 数据库: SQL注入 2. 数据库: 慢查询 3. 任意文件上传 4. 敏感文件下载、任意文件读取 5. 文件目录列出 6. 扫描器探测行为 7. CSRF 8. Cookie 篡改 9. CRLF 10. XX...

区块链共识级别的攻击 Double spending attacks Grinding attacks Transaction denial attacks Desynchronization attacks Eclipse attacks 51% attacks Bribery attacks Long-range attacks Weak ...

4.4 经常检查易受攻击的依赖 4.4 经常检查易受攻击的依赖 TL;DR: 即使是那些最有名的依赖模块，比如Express，也有已知的漏洞。使用社区和商业工具，比如 npm audit ，集成在您的CI平台上，在每一次构建的时候都会被调用，这样可以很容易地解决漏洞问题。 否则: 在没有专用工具的情况下，使代码清除漏洞，需要不断地跟踪有关新威...

开始社会工程学攻击行动 近似域名（Doppelganger Domain） 如何克隆验证页面 使用双因素验证的身份凭证 开始社会工程学攻击行动 作为红队队员，我们钟爱社会工程学攻击。不仅因为它通常包含低技能攻击，而且因为它也很容易以非常低的成本来策划一场值得我们高度信赖的战役。只需设置几个假域名、服务器、策划一些电子邮件、假装丢掉一些 bad ...

第4章 带球——开始攻击网络 第4章 带球——开始攻击网络 译者：@Snowming 校对者：@鶇 、@leitbogioro 、@哈姆太郎、@匿名jack 在进行风险评估项目的第二天，你使用 nmap 扫描了目标的全部网段，还启动了漏洞扫描器，但运气不太好，你没有探测出任何 Web 应用程序的初始入口点。这让你感到有些失败，需要反思...

第九章 无线攻击 简介 9.1 WEP 无线网络破解 准备 操作步骤 工作原理 5.2 WPA/WPA2 无线网络破解 准备 操作步骤 工作原理 9.3 无线网络自动化破解 准备 操作步骤 工作原理 9.4 使用伪造接入点连接客户端 准备 操作步骤 工作原理 9.5 URL 流量操纵 操作步骤 工作原理 9.6 端口重...

第6章 短传——物理访问攻击 第6章 短传——物理访问攻击 译者：@Snowming 作为安全评估的一部分，CSK 要求你的团队对基础设施进行物理评估。这就需要检查他们的门和安保设施是否合格。在得到了授权的前提下可以进行现场测试，以确定他们警卫的反应和响应时间。 快速说明：在进行任何物理评估之前，请务必与当地、州和联邦法律核实。例如，...