警惕网络安全的“古德哈特定律” 古德哈特定律是一句格言，经常被表述为“当一个措施成为目标时，它就不再是一个好的措施”。它以英国经济学家查尔斯·古德哈特(Charles Goodhart)的名字命名，他在1975年关于英国货币政策的文... 2023-1-3 10:7:41 | 阅读: 12 | 收藏 | 黑白之道 安全 网络 眼镜 眼镜蛇

十款实用方便的日志分析工具 在网络管理员的日常工作中，对日志文件的分析能够及时了解网络设备或应用的性能数据，以便及时发现问题并及时解决。分析日志文件的时候需要运用到日志分析工具，接下来就给大家分享10个优秀的日志分析工具：1、S... 2023-1-2 09:37:11 | 阅读: 14 | 收藏 | 黑白之道 数据 网络 监控 安全 windows

CTF中SSTI漏洞的简单利用 前段时间参加比赛的时候，碰到了一个jinja模版注入的题目，于是想着借这个机会好好总结一下模版注入的知识于是便有了这篇文章。什么是SSTI注入SSTI模板注入（Server-Side Template... 2023-1-2 09:37:8 | 阅读: 8 | 收藏 | 黑白之道 subclasses 注入 globals ssti mro

年度盘点：2022年我国重大网络攻击事件 关注我们带你读懂网络安全教育科研、工业制造、医疗健康三大行业网络攻击事件影响最为突出。安全内参12月30日消息，本文基于网络安全知识平台《安全内参》内容库，梳理了约20起影响较大、危害较严重的国内网络... 2023-1-2 09:37:4 | 阅读: 13 | 收藏 | 黑白之道 攻击 网络 数据 信息

某学习APP强制收集用户信息，法院：该罚；新 Linux 恶意软件：利用多款 WordPress 插件和主题漏洞注入恶意脚本 某学习APP强制收集用户信息，法院：该罚！近日，北京互联网法院审结了APP强制收集用户画像信息侵权案。此案中，原告认为被告运营的软件在用户首次登录时强制收集用户画像信息用于个性化推送，侵犯其个人信息权... 2023-1-2 09:37:1 | 阅读: 22 | 收藏 | 黑白之道 信息 被告 原告 涉案

一款精简的webshell管理工具 -- Assassin 一、工具介绍Assassin是一款精简的基于命令行的webshell管理工具，它有着多种payload发送方式和编码方式，以及精简的payload代码，使得它成为隐蔽的暗杀者，难以被很好的防御。工具短... 2023-1-1 09:10:50 | 阅读: 10 | 收藏 | 黑白之道 payload base36 assassin tomcat9 精简

某众测黑盒0day挖掘获得奖金上限 0x01 前言刚开学没多久在宿舍隔离上网课，无聊看漏洞众测平台发布了新项目（好好学习，好好听课，不要逛SRC）。最高奖金一千块，然后成功报名并通过审核占到茅坑（占着茅坑不拉屎）0x02 正文使用奇安信... 2023-1-1 09:10:48 | 阅读: 13 | 收藏 | 黑白之道 usercode appcode authtype usermap singlelogin

陈年老“洞”击穿底线，未知风险几时休 网络空间是有记忆的，它一笔一笔记录着所有的错误，永远不会消失，也就意味着威胁如同悬在头上的达摩克利斯之剑。最近，就有个值得好好说说的小事儿。前不久，微软发布警告称，有黑客利用常见物联网（IoT）设备中... 2023-1-1 09:10:46 | 阅读: 9 | 收藏 | 黑白之道 安全 漏洞 攻击 威胁 电网

扬帆风正好,奋楫逐浪高|黑白之道祝大家元旦快乐~ 元旦快乐Happy NewYear      黑白之道感谢大家一直以来的支持与厚爱，新的一年，希望黑白之道、华盟网、华盟信安与大家一起进步，呈现更多更优质的干货！              2023年... 2023-1-1 09:10:42 | 阅读: 7 | 收藏 | 黑白之道 黑白 元旦 newyear 厚爱 星河

一款被动测试sql注入点的bp插件 项目地址作者：smxiazi地址：https://github.com/smxiazi/xia_sql本插件仅只插入单引号，没有其他盲注啥的，且返回的结果需要人工介入去判断是否存在注入，如果需要所有注... 2022-12-31 09:29:45 | 阅读: 32 | 收藏 | 黑白之道 payload 单引号 数据 监控 注入

渗透测试｜验证码爆破总结 一、使用reCAPTCHA插件进行验证码爆破插件下载地址：https://github.com/bit4woo/reCAPTCHA/releases1.浏览器输入网站登录页面，输入用户名和密码以及验证... 2022-12-31 09:29:43 | 阅读: 14 | 收藏 | 黑白之道 captcha payload 爆破 recaptcha username

反间谍法修订草案二审稿增加有关网络间谍的规定 修订草案二审稿将为间谍组织及其代理人提供针对关键信息基础设施的网络安全漏洞等信息的行为规定为间谍行为。本报北京12月27日讯 记者朱宁宁反间谍法修订草案今天再次提请十三届全国人大常委会第三十八次会议审... 2022-12-31 09:29:39 | 阅读: 40 | 收藏 | 黑白之道 间谍 反间谍 安全 修订 草案

警方破获一起跨省“跑分”案，抓获11名犯罪嫌疑人；安全专家报告 Google Home 严重漏洞获得谷歌 107500 美元赏金 警方破获一起跨省“跑分”案，抓获11名犯罪嫌疑人用银行卡帮人转转账随便就能赚好几百时间一长还不靠海别墅啊请问这么轻松又好赚的活儿在哪里呀，在哪里？答案是在——刑法里近日，广西梧州警方破获一起跨省“跑分... 2022-12-31 09:29:37 | 阅读: 11 | 收藏 | 黑白之道 李女士 女士 漏洞 梧州 谷歌

六款Linux常用远程连接工具 Xshellxshell 是一个非常强大的安全终端模拟软件，它支持 SSH1, SSH2, 以及 Windows 平台的 TELNET 协议。Xshell 可以在 Windows 界面下用来访问远端不... 2022-12-30 09:58:17 | 阅读: 15 | 收藏 | 黑白之道 ssh windows 远程 安全 putty

记一次挖矿病毒的应急响应 前言人往往就是这个样子，一个人的时候是一种样子，好多人聚在一起的时候就会完全变成另外一种样子。          -------《白鹿原》陈忠实start某单位接到上级单位通报存在挖矿病毒，通报的地址... 2022-12-30 09:58:14 | 阅读: 13 | 收藏 | 黑白之道 病毒 上级 木马 vaincues 高危

世界上第七大加密货币矿池遭网络攻击 BTC.com是世界上最大的加密货币矿池之一，它宣布成为网络攻击的受害者，导致属于客户和公司的价值约300万美元的加密资产被盗。根据其矿池跟踪器，BTC.com是第七大加密货币矿池，占网络总哈希率的2... 2022-12-30 09:58:11 | 阅读: 11 | 收藏 | 黑白之道 btc 加密 攻击 网络 信息

网信办查处网易云音乐等在内的173 款违法违规 App；LastPass 安全事件持续发酵，破解常规主密码只需 100 美元； 浙江网信办查处 173 款违法违规 AppIT之家 12 月 30 日消息，据“网信浙江”微信公众号 28 日消息，近期，浙江省网信办依据《个人信息保护法》《App 违法违规收集使用个人信息行为认定方... 2022-12-30 09:58:7 | 阅读: 13 | 收藏 | 黑白之道 破解 信息 lastpass 安全

红队攻防 | 域渗透重要漏洞汇总（建议收藏） kerberos认证，no PAC用户在向 Kerberos 密钥分发中心（KDC）申请TGT（由票据授权服务产生的身份凭证）时，可以伪造自己的 Kerberos 票据漏洞效果：将任意域用户提升到域管... 2022-12-29 10:2:5 | 阅读: 25 | 收藏 | 黑白之道 漏洞 exchange 攻击 windows github

一次对企业内部EHR系统的渗透测试 0x01 渗透前言对EHR系统访问时，首先是需要一个登录的，作为企业员工，大部分系统接入了SSO，该EHR系统为了保证安全性也不例外。因此对该系统的渗透测试基础的前提是————在该系统拥有一个可登录的... 2022-12-29 10:2:2 | 阅读: 22 | 收藏 | 黑白之道 数据 信息 filemkdir fileurl

2023年11大热门IT技能，网络安全赢麻了 狄更斯曾说：“这是最好的时代，也是最坏的时代。”2022年底，刚刚经历全球性大裁员浪潮的科技行业可谓遍地哀鸿，上百万知识工人下岗，前景一片凄凉；但对于少数拥有热门技能和认证的幸运儿来说，“自然选择号”... 2022-12-29 10:1:58 | 阅读: 20 | 收藏 | 黑白之道 安全 数据 网络 foote