渗透技巧
反爬检测小结(1)
背景之前对'反爬反bot'做过一些调研工作:从网上搜索资料、研究分析厂商的产品。如果你也准备做'反爬'相关的工作,希望我的小结能够加速你的进度。爬虫是什么...
每日安全动态推送(12-16)
Tencent Security Xuanwu Lab Daily News• [Browser] Preventing secrets from leaking through Clipboard:https://blog.mozilla.org/security/202...
log4Shell核弹级漏洞复现&Ladon批量检测
漏洞简介Apache Log4j2是一款优秀的Java日志框架。近日,漏洞银行安全团队注意到了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功...
浅谈被动式IAST产品与技术实现
V-lab实验室笔者曾参与RASP研究与研发得到一些相关经验,近两年观察到IAST发展势头明显,但目前国内外对于IAST具体实现的细节相关文章较少,且笔者看到的开源...
从Log4shell事件看资产风险运营工程化的困局与盲点
0x00 前言 这几天想必各位同行都被这个漏洞折腾疯了,不管是甲方的同学还是乙方的同学,毫不夸张的这个漏洞应该是近五六年以来仅次于永恒之蓝事件的安全事件...
利用AppInfo RPC服务的UAC Bypass技术详解
技术背景在我们先前的攻击技术研判中曾介绍了一种较新的UAC Bypass在野利用手法,本文将再次对其技术细节进行深入分析。该方法最初由Project Zero的研究员披...
Log4j_RCE_Tool V1.0 保姆级使用教程
前言 本工具只可用于授权安全测试,请勿用于非法用途! 工具经过了三个版本的迭代,现在已经发布了V1.0正式版,该版本由之前版本的默认内置常见参...
借助crash工具理解linux系统的内存分配
背景Linux下访问匿名页发生的神奇“化学反应”,我看完这篇文章感觉对linux的内存分配又多了一点点理解,因此也想推荐给你读下。原文提出了一个问题:向mmap系...
红队痕迹清理之入侵日志处理
STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测...
每日安全动态推送(12-15)
Tencent Security Xuanwu Lab Daily News• Apache Log4j2 Jndi RCE 高危漏洞分析与防御:http://paper.seebug.org/1787/ ・ Apach...