2022-07-20 阅读(223)

那么在移动安全的这个安全领域，其实还有很多的这个初级的或者中级的移动安全工程师的岗位，那通常其实他不太需要这里所写到的这个什么negative层的二进制逆向这一块的技能，主...

2022-07-20 阅读(71)

然后底下的话可能会有一些阿里的fastjson。对，时间底下的话也是会有反序列化漏洞。1.2.47这种版本。反序列化漏洞可以得到，那么我们这只是一个服务器，框架中间件可能还有一些没...

2022-07-19 阅读(202)

各位同学们大家好，欢迎来到移动安全攻防逆向训练营，我是本节课的主讲老师SINESAFE。本节课是我们整个训练营的收官之战最后一刻了，我给大家来聊一聊关于移动安全逆向的职业发...

2022-07-15 阅读(291)

这些垃圾资产，就会引出一些别的东西。然后还有一些第三方的工具，我看第三方工具，我这有吧？不一定有这种的工具fofa，搜索不了的话，你们直接去搜索的话会比较好。例如搜索的...

2022-07-10 阅读(442)

对于目标平台网站的信息收集是不可或缺的，关键包含网站备案信息、子网站备案信息 、目标平台网站信息内容、目标平台网站真实性IP地址、文件目录文本文档、开放端口和服务 。由...

2022-07-10 阅读(414)

本次攻防实战演练游戏模式早已算得上比较激进派，相比较渗透测试更接近实操，不论是 对防御蓝方或是攻击红方全部都是比较磨练工作能力，相对应的也会提升本人技术实力。做为...

2022-07-10 阅读(271)

攻防的对抗阶段。Pentest(渗透测试)和Redteam(红队)现在应该分为两个不同的业务能力要 求，应该有普遍的认知，其中的界定在每个人的心中都不太一样，以下是我认可的比较简单的区 别...

2022-07-10 阅读(175)

大学毕业后的第一份工作是从事渗透测试。除了网络安全，关键是内部网络安全，包括域环境渗透和工作组环境渗透。时间约为2013-2017年，因为大学四年级出来实习，这一年只有两个月...

2022-07-10 阅读(1215)

上周，我参某金融行业内部的护网红蓝对抗，攻防过程整体两个字很困难，全部的资产都看了一次，并没有fastjson、shiro、weblogic，很难尝试钓鱼攻击，钓鱼邮件发送后几分钟全公司发出...

2022-07-10 阅读(372)

钓鱼的目标(对于HR的钓鱼，对于普通员工的钓鱼，邮件内容可以自己寻找模板进行结构)钓鱼攻击方式(附件、伪装链接、微信扫描、自解木马、office宏)关于木马免杀(不建议使用开源加载...