文章列表
研究人员发现人工智能 Azure 健康机器人服务中的漏洞
网络安全研究人员发现微软 Azure Health Bot Service 中存在两个安全漏洞,如果被利用,恶意行为者可以在客户环境中实现横向移动并访问敏感的患者数据。Tenable 在与 The Hacker News 分享的新报告中表示,这些严重问题目前已被微软修补,可能允许访问服务内的跨租户资源。Azure AI Health Bot Service
Dalfox:功能强大的开源XSS扫描器和实用程序🌙🦊
DalFox 是一款功能强大的开源工具,专注于自动化,非常适合快速扫描 XSS 漏洞和分析参数。其先进的测试引擎和特殊功能旨在简化检测和验证漏洞的过程。至于名字,Dal(달)在韩语中是“月亮”的意思,而“Fox”代表“Finder Of XSS”或🦊Github:https://github.com/hahwul/dalfox## 主要特色模式: `ur
FCIS 2023白帽论坛议题:从实战看红队进攻技巧(陈殷)
01 更为细致的信息收集02 进攻前的一些基础设施建设03 在实战中快速突破边界技巧Penetration testing / Red teaming所有的运气是建立在大量已捕获的信息之上的针对大范围的项目的资产发现项目地址:https://github.com/SiJiDo/Ceyes优化BurpSuite以发现更多攻击面项目地址:https://github.com/novysod
您的 SaaS 应用程序中隐藏的安全漏洞:您是否做了尽职调查?
对于旨在提高生产力和简化运营的组织来说,SaaS 应用程序已成为不可或缺的工具。然而,这些应用程序提供的便利性和效率伴随着固有的安全风险,通常会留下可被利用的隐藏漏洞。对 SaaS 应用程序进行彻底的尽职调查对于识别和减轻这些风险至关重要,从而确保保护组织的敏感数据。了解尽职调查的重要性尽
攻击者利用公共 .env 文件入侵云账户进行勒索
一场大规模勒索活动利用包含与云和社交媒体应用程序相关的凭据的可公开访问的环境变量文件 (.env),危害了各个组织。Palo Alto Networks Unit 42在周四的一份报告中指出: “这次攻击活动中存在多处安全失误,包括:暴露环境变量、使用长期凭证以及缺乏最小特权架构。”此次活动最引人注目的是,它在受
FCIS 2023白帽论坛议题:从0开始设计webshell管理工具(张兆伟)
01 背景 一、为什么要从0开发和设计自己的WebShell管理工具? 二、WebShell进化史——流量02 设计流程 一、数据库选型与表设计 二、客户端编程语言选型 三、客户端主要功能设计03 功能设计 一、模拟终端实现的思路 二、文件管理实现的思路 三、流量加密实现的思路
fsociety:黑客工具包 – 渗透测试框架
# Fsociety 黑客工具包渗透测试框架,您将拥有黑客所需的所有脚本。适用于Python 2。有关Python 3版本,请参阅更新版本fsociety-team/fsociety。Github:https://github.com/Manisso/fsociety## 菜单- 信息收集- 密码攻击- 无线测试- 利用工具- 嗅探和欺骗- 网络黑客- 私人网络黑客- 后期利用- 贡献者-
ValleyRAT 多阶段攻击,采用先进策略瞄准中国用户
正在进行的 ValleyRAT 恶意软件传播活动的目标是讲中文的用户。Fortinet FortiGuard Labs 研究人员 Eduardo Altares 和 Joie Salvio表示:“ValleyRAT 是一种多阶段恶意软件,它利用多种技术来监视和控制受害者并部署任意插件以造成进一步的破坏。”“该恶意软件的另一个值得注意的特征是它大量使用 s
FCIS 2023白帽论坛议题:Fuzzing的艺术(麦香)
Fuzzing的艺术如何一天发现数百个漏洞编译器/解释器应用广泛1. 网络浏览器2. 数据库管理系统3. 插件或扩展式软件4. 办公软件或文档编辑器5. 操作系统,虚拟机6. 配置文件编排系统7. 编译器/解释器总结1. PolyGlot让语言处理器fuzzing变得通用和高效 a. 一个小时不到就可以写出一个高效的语言fuzzer2.
subfinder:快速被动子域名枚举工具
---subfinder是一款子域名发现工具,可使用被动在线资源返回网站的有效子域名。它具有简单的模块化架构,并且针对速度进行了优化。subfinder它只为做一件事而构建——被动子域名枚举,并且它做得非常好。我们已使其符合所有使用的被动源许可证和使用限制。被动模型可确保速度和隐秘性,渗透测试人员和
