登陆 注册
  • 复杂风控场景下,如何打造一款高效的规则引擎

    BY残年BY残年 2020-05-17

    | 在互联网时代,安全已经成为企业的命脉。美团信息安全团队需要采用各种措施和手段来保障业务安全,从而确保美团平台上的用户和商户利益不会受到侵害。本文主要介绍了美团在打造自有规则引擎Zeus(中文名“宙斯”)的过程中,信息安全团队遇到的挑战以及对应的解决方案,并分享了很多踩过的坑,同时还有一些思考和总结。希望对从事安全领域相关工作的同学能够有所启发或...

  • SSRF攻击姿势汇总

    BY残年BY残年 2020-05-17

    前言这是很早就整理的笔记,今天想起来发到博客上,还是要保持写文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request smuggle、SSO任意跳转,Url解析不一致导致的安全问题。一方面由衷地佩服演讲人的脑洞和安全功底,另外一方面又在笔者又在反思,如果是我,我会怎么去发现此类漏洞,解决方案又是什么。本文不同于各...

  • 如果网站的 Cookie 特别多特别大,会发生什么情况?

    BY残年BY残年 2020-05-17

    有没有想过,如果网站的 Cookie 特别多特别大,会发生什么情况?不多说,马上来试验一下:for (i = 0; i < 20; i++)    document.cookie = i + '=...

  • 应急响应之CC攻击事件

    BY残年BY残年 2020-05-06

    CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库压力就越大,被访问的频率也越高,占用的系统资源也就相当可观。 一,定义       CC(ChallengeCollapsar,挑战黑洞)攻击是DDo...

  • 使用Powershell对目标进行屏幕监控

    BY残年BY残年 2020-03-15

    Nishang是基于PowerShell的渗透测试专用工具。集成了框架、脚本和各种payload。这些脚本是由Nishang的作者在真实渗透测试过程中有感而发编写的,具有实战价值。包括了下载和执行、键盘记录、dns、延时命令等脚本。今天要给大家介绍的是如何通过powershell对目标的屏幕进行实时监控。脚本下载地址如下:https://raw.github...

  • 代码审计 | zzcms8.2

    BY残年BY残年 2020-03-10

    前言代码审计,最重要的就是多读代码,对用户与网站交互的地方要特别注意。在进行审计时,我们也可以使用一些审计工具来辅助我们进行工作,从而提高效率。下面,笔者将分享审计zzcms8.2的过程,与大家一起学习。这里,笔者,使用seay源代码审计系统软件进行辅助工作。1.2.1审计流程首先,笔者打开seay源代码审计系统软件,将要审计的网站源码导入项目,然后点击自动...

  • 阿里安全工程师用AI助警方反诈 9个月劝阻8.7万人挽回6.9亿元

    BY残年BY残年 2019-07-10

    近年来,电信网络诈骗案件持续高发、多发,但立案后侦破难、追赃难,如何用技术破解反诈困局,守护老百姓的钱袋子?阿里安全的工程师们用半年时间,自研钱盾反诈预警系统,利用AI深度学习等技术,助力警方预警拦截诈骗,仅9个月已劝阻8.7万人,止损6.9亿元。 阿里巴巴集团安全部总监李冠华(右五)代表钱盾反诈公益平台获颁“防范治理电信网络诈骗创新实践示范项目”...

  • 某CMS组合漏洞至Getshell

    BY残年BY残年 2019-06-01

    前言首先这个文件上传的漏洞点只能上传压缩包,因此并不能直接getshell。这里的组合原理是通过sql注入漏洞拿到数据库中存放的压缩包信息,然后利用压缩包信息去构造payload触发解压缩操作,最终实现getshell。审计的cms名为5iSNS内容付费系统,代码规模并不大,但是漏洞点比较有趣,故分享此文。源码的下载地址:http://down.chinaz...

1
请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.