【实战】记一次企业钓鱼演练 前言：钓鱼演练伊始：公司要求做一次钓鱼演练，辗转后任务落我身上，两眼一抹黑，内心苟苟且且，但一想到今年七月份马上发布的RTX40系，我这等等党铁定必然绝对是要剁手，想到这儿，我这个打工人立马就打了鸡血... 2022-12-13 10:7:2 | 阅读: 22 | 收藏 | 黑白之道 gophish 钓鱼 端口 数据 ewomail

APP漏洞挖掘之某款APP开发商通用漏洞的挖掘 参加某众测项目时，测某APP时，根据信息收集+测试，发现APP的后台系统存在SQL注入、XSS、弱口令、信息泄漏等漏洞，此APP本身存在逻辑漏洞与SQL注入漏洞，再通过观察酷传搜索的结果发现此APP开... 2022-12-13 10:6:57 | 阅读: 18 | 收藏 | 黑白之道 漏洞 注入 信息 数据 sqlmap

大量中文网站被黑，嵌入世界杯关键词用于黑帽SEO 在黑帽 SEO 中，经常会出现的是被黑网站的 <title>标签被修改为中文关键词，使搜索引擎的检索结果中明显可见。但如果使用浏览器打开时，则会显示原始未修改的标题。黑帽 SEO 经常会推广中文的赌博... 2022-12-13 10:6:54 | 阅读: 22 | 收藏 | 黑白之道 世界杯 脚本 失陷 jswww 攻击

通信行程卡正式下线用户数据将删除 三大运营商：同步删除；快递客服出售用户信息获利24万 夫妻俩双双获刑 通信行程卡正式下线用户数据将删除 三大运营商：同步删除2022年12月12日，通信行程卡微信公众号发布公告：为深入贯彻党中央、国务院关于进一步优化新冠肺炎疫情防控措施，科学精准做好防控工作的决策部署，... 2022-12-13 10:6:51 | 阅读: 15 | 收藏 | 黑白之道 信息 行程 数据 中国

内网渗透 | 最全的内网凭据密码收集方法和技巧总结 原创投稿作者：深蓝实验室天威战队前言在攻防场景下，红队人员拿下一台终端或服务器后，第一步要做的往往就是信息收集，为最大化利用权限，扩大战果，密码抓取必不可少，这里针对常见应用软件和系统等密码抓取做了记... 2022-12-12 09:55:41 | 阅读: 35 | 收藏 | 黑白之道 数据 数据库 加密 software 浏览器

Tomcat的一种利用方式 0x00 前言在介绍该利用方式之前有必要先进行一些说明（1）不影响默认配置的Tomcat（2）不影响通过jar部署的SpringBoot（3）作为利用链中的一环，可以利用平台未授权访问或弱授权直接利用... 2022-12-12 09:55:38 | 阅读: 13 | 收藏 | 黑白之道 jmxproxy jmx 漏洞 监控

十大基于风险的漏洞管理工具 基于风险的漏洞管理工具为IT安全团队提供了一种持续的自动化能力，可以根据网络漏洞对特定组织构成的相对风险来识别、确定优先级和修复这些漏洞。由于大型复杂互联计算环境中存在大量漏洞，企业难以及时部署所有软... 2022-12-12 09:55:34 | 阅读: 15 | 收藏 | 黑白之道 漏洞 安全 风险 网络 威胁

12月13日0时起，“通信行程卡”服务正式下线！3.6 亿据称 WhatsApp 的数据在暗网流传 12月13日0时起，“通信行程卡”服务正式下线！2022年12月12日，“通信行程卡”小程序截图。人民网北京11月12日电 (记者申佳平)据“通信行程卡”官方微信公众号消息，为深入贯彻党中央、国务院关... 2022-12-12 09:55:30 | 阅读: 10 | 收藏 | 黑白之道 行程 数据 防控 中国 安全

实战分享 - 从APP到网站沦陷 分享一下今天对某app进行渗透测试，从基础的信息收集到拿到网站的shell。总体来是还是很简单的，也没什么技术含量1. 使用模拟器挂上代理并对app进行抓包，我们把其域名给拿出来2. 使用工具对主域名... 2022-12-11 10:1:58 | 阅读: 18 | 收藏 | 黑白之道 账号 爆破 招聘 脚本

一文简析虚拟化环境中的超级劫持攻击 2022年9月，安全研究人员发现了一种较罕见的新型攻击方法——Hyperjacking（超级劫持）攻击，攻击者在 VMware 虚拟化软件中部署了一种感染后植入程序，以控制受感染的虚拟机系统并逃避检测... 2022-12-11 10:1:56 | 阅读: 8 | 收藏 | 黑白之道 攻击 虚拟 虚拟机 劫持 攻击者

2022年漏洞事件盘点 2022年，网络安全漏洞形势空前严峻：高危漏洞数量延续增长趋势，企业安全预算和资源难以跟上黑客工具技术迭代和漏洞增长的速度，人工智能和量子计算等新技术风险加速到来，供应链和第三方风险不断累积，漏洞优先... 2022-12-11 10:1:54 | 阅读: 18 | 收藏 | 黑白之道 漏洞 安全 攻击 攻击者 网络

健康码三年后退场，专家建议这类隐私数据应销毁或封存；要钱还是要命？医院遭勒索攻击暂停手术，转移重症患者 健康码三年后退场，专家建议这类隐私数据应销毁或封存随着新十条提出“不再对跨地区流动人员查验核酸检测阴性证明和健康码”，伴随了大家三年的健康码正逐渐退出日常生活。国务院联防联控机制近日发布的《关于进一步... 2022-12-11 10:1:51 | 阅读: 11 | 收藏 | 黑白之道 信息 攻击 勒索 数据

Web安全之一文看懂XSS 跨站脚本攻击XSS(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets，CSS)的缩写混淆故将跨站脚本攻击缩写为XSS，恶意攻击者往Web页面... 2022-12-10 09:33:21 | 阅读: 18 | 收藏 | 黑白之道 数据 php 3w 信息 漏洞

实战|记一次HVV实战应急响应 背景记一次今年五月份为期两周的的HVV应急演练，前一周风和日丽，所有人都相处愉快，都觉得红队是纸老虎在倒数第四天的时候，红队发威了，提交一份攻击报告，给我们扣了七千分（红队哥哥牛啤），差点直接给我们一... 2022-12-10 09:33:18 | 阅读: 13 | 收藏 | 黑白之道 攻击 安全 漏洞 黑客 账号

FTX崩塌始末，安全是所有0前面的1 币圈故事多，危机藏得深。要说最近加密货币最出圈的事儿，非FTX交易平台破产莫属。风光无限跻身全球前列的加密货币交易平台FTX，一夜破产清算引发币圈震荡，还惨遭黑客洗劫，损失数亿价值的虚拟货币资产。抛开... 2022-12-10 09:33:16 | 阅读: 12 | 收藏 | 黑白之道 虚拟 ftx 安全 攻击

当心！有人利用"颜值检测"软件窃取人脸信息；多个团伙利用社保公积金系统漏洞，非法获取公民个人信息2300万条 当心！有人利用"颜值检测"软件窃取人脸信息人脸信息是具有不可更改性和唯一性的生物识别信息。人脸识别技术给生活带来便利的同时,也容易被犯罪分子窃取利用或者制作合成,用以破解人脸识别验证程序,侵害隐私、名... 2022-12-10 09:33:12 | 阅读: 14 | 收藏 | 黑白之道 信息 李某 公安 犯罪

分享 | 蚁剑RCE反制复现 Zero漏洞概述中国蚁剑是一款开源的跨平台网站管理工具，它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。2019年4月12日凌晨，有用户在中国蚁剑GitHub上提交了issue，称... 2022-12-9 10:14:23 | 阅读: 18 | 收藏 | 黑白之道 端口 client windows 防火墙 木马

实战 | 记两次应急响应过程 2022-12-9 10:14:21 | 阅读: 11 | 收藏 | 黑白之道 ifp 信息 powershell microsoft windows

最高检发布依法惩治侵犯公民个人信息犯罪典型案例 2022年12月7日，最高人民检察院发布5件依法惩治侵犯公民个人信息犯罪典型案例（点击阅读原文查看全文），涵盖了对公民征信、生物识别、行踪轨迹、健康生理信息等不同类型个人信息的全面保护，体现了检察机关... 2022-12-9 10:14:17 | 阅读: 9 | 收藏 | 黑白之道 信息 犯罪 侵犯 安全

日常渗透刷洞的一些小工具 https://github.com/givemefivw/SecurityServiceBox0x00 更新·题外话—终端选取在盒子的tools当中，很多工具运行都是带有颜色标识的，例如nuclei... 2022-12-8 10:10:30 | 阅读: 12 | 收藏 | 黑白之道 nuclei github pocscan wanli 漏洞