警惕!这不是“骗局”,你的位置信息真的会泄露!

发一条短信就能定位别人的位置信息这是什么操作……近日在浙江省嘉兴市“净网2019”专项行动案件专题新闻发布会上警方首次披露了这个典型案例▼“警察同志,我被骗了”今年2月份,浙江海宁的夏女士报警称,自己在网上花199元充值了一款名为“定位宝”的APP,想用它来找人,可钱花了,人却没找着。夏女士一怒之下报了警。海宁市公安局网络安全保卫大队接到报警后,立即展开调查。调查结果出人意料,这不是骗子在骗钱,这款APP确实有定位他人手机位置的功能!通过实际使用,民警们发现,用户在这款“定位宝”中可以向指定的手

image.png

渗透测试常见点大全分析

大家好,我是Tone,前几天我们字节脉搏的活动获得行业内各家媒体、企业、粉丝的支持,在此我非常感谢各位,相继的奖品和开奖会陆续送出请耐心的等待。此文主要是分析一下常见的web、系统、逻辑漏洞、各行业漏洞常见存在点,马上实习高峰期也要到来,各位有意向做渗透测试的同学请耐心观看,点点再看并转发,谢谢(有所不足欢迎提意见,毕竟我可能是想水一篇)web漏洞sql注入SQL注入的产生条件有参数传递参数值带入数据库查询并且执行类型基于布尔的盲注不返回数据库数据,结果false和true基于时间的盲注利用slimage.png

TOMCAT安全测试概要

一、前言Web安全中很重要的一个部分就是中间件的安全问题,而中间件的安全问题主要来源于两部分,一个是中间件本身由于设计缺陷而导致的安全问题,另一个就是默认配置或错误配置导致的安全风险。本文作为逢魔安全团队中间件安全风险系列对外公开文章将详细对Tomcat的常见安全风险进行分析归纳。二、版本管理类似于Tomcat这种软件项目官方一般都维护了多个版本分支,一般新的产品特性会被更新在最新的大版本当中,而类似于修复bug及漏洞这种就会在旧版本的分支当中得以更新。这就允许开发人员在不破坏生产环境的情况下软image.png

现代浏览器中的隐私浏览是否真的安全?

Abu Awal Md ShoebDepartment of Computer Science, Rutgers University译者:Kenneth来源:https://arxiv.org/abs/1802.10523

摘要网络浏览器是通过互联网执行各种活动的最常用工具。除了普通浏览模式,几乎所有现代浏览器都有隐私浏览模式,具体名称因浏览器而异,但隐私模式的目的在每个浏览器中都是类似的。在正常浏览模式下,浏览器会跟踪用户的活动和相关数据,如浏览历史记录、Cookie、自动填充字段、临时文件等

image.png

针对Weblogic测试的一些小总结

  1. 管理员登录页面弱密码Weblogic的端口一般为7001,弱密码一般为weblogic/Oracle@123 or weblogic,或者根据具体情况进行猜测,公司名,人名等等,再有就可以用burpsuite的intruder进行暴力破解,一旦成功就可以上传war包getshell.Default1http://192.168.8.128:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://192.1

  2. image.png

浅谈大型互联网的企业入侵检测及防护策略

前言如何知道自己所在的企业是否被入侵了?是没人来“黑”,还是因自身感知能力不足,暂时还无法发现?其实,入侵检测是每一个大型互联网企业都要面对的严峻挑战。价值越高的公司,面临入侵的威胁也越大,即便是Yahoo这样的互联网鼻祖,在落幕(被收购)时仍遭遇全量数据失窃的事情。安全无小事,一旦互联网公司被成功“入侵”,其后果将不堪想象。基于“攻防对抗”的考量,本文不会提及具体的入侵检测模型、算法和策略,那些希望直接照搬“入侵策略”的同学可能会感到失望。但是我们会将一部分运营思路分享出来,请各位同行指点,如

image.png