Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

渗透测试

对JSP网站的一次曲折渗透测试与提权

阅读(88)

本次项目是公司的大客户,客户和公司领导也重视渗透测试结果,有本次安全测试经验。因为已经是生产环境的系统,而且以前也进行过渗透测试,所以最初的报告中发现的漏洞基本上...

白盒安全检测系统的引擎开发 大体介绍

阅读(135)

在白盒检测方面,我们主要基于两个自主开发的白盒引擎进行检测,一个是基于代码属性图(cpg),内部称为阿波罗,另一个是基于字节码点,内部称为冥王哈迪斯。关于冥王哈迪斯,试...

白盒安全测试系统的架构都有哪些?

阅读(194)

我们内部在用的自研白盒系统(apollo)拓扑图,目前第三方方面支持三种方法接入分布式白盒 系统。第一种方法是直接登陆web平台进行日常任务提交操作,第二种是通过marthakinspiplines方法...

APP安全开发理念 从白盒到黑盒的安全测试

阅读(102)

在DevSecOps实施方案中,过去的sDLC实施方案将被遗弃,安全和开发不再是两个完全隔离的环节,安全能力被嵌入到开发的整个生命周期中,这种能力会逐渐左移。在此期间,APP安全测试将...

2020年CISSP考试的心得分享

阅读(101)

报班学习大约从2020年2月开始,最开始是按照培训机构的计划,看录播+实况课程+OSG书籍;本来打算五月底参加考试,但没预约好,所以改到七月。但是在接下来的三个月里遇到了一些私...

对物联网项目的一次黑盒渗透测试 下篇

阅读(195)

我们从上面得到了172.16.*.*的新段落,接下来我对该段落进行了WEB端口的生存性检测,发现了路由管理界面。在这里尝试弱密码和爆破也没有得到相应的结果,但是现在我们的资产收集也...

对某厂商的登录功能的渗透测试 验证码漏洞

阅读(101)

这是对某SRC制造商某业务的登录页面的测试,文章的相关漏洞现在正在修复。提取其中思想的精髓,与大家分享。 开始登录框,一般情况下,我会马上打admin/123456。假如提示信息帐户不...

对物联网项目的一次黑盒渗透测试 上篇

阅读(98)

在一个项目中,客户的需求是在完全黑盒的情况下开展渗透测试,目标是内部网络的物理 隔离核心系统,因此展开了下一个测试行动。 那是1个艳阳高照的早上,我背个我的小书包来到...

对域服务器的渗透测试的一些办法

阅读(154)

前几天帮朋友弄了个域名。很久没有域名了,感觉快被遗忘了。幸运的是,我终于突破了这 个领域,但不是应朋友的要求以文章的形式写出来的。我简单整理了一些思路和测试过程中遇...

使用sql注入对某网站的一次渗透测试过程分享

阅读(79)

该案例记录了笔者2020年 渗透测试 的目标网站,当时首先找到了子域名SA权限的检索型注入, 认为能够顺利获得目标服务器的权限,结果在测试中遇到了很多问题。例如,我们测试了一...