一敌卓、漏洞描述 致遠OA是一套辦公協(xié)同管理軟件。近日终佛，奇安信CERT監(jiān)測到致遠OA的相關漏洞信息。由于致遠OA舊版本某些接口存在未授權訪問雾家，以及部...

一铃彰、 背景 本次挖礦木馬的應急事件，配合老師給的信息芯咧，結合動態(tài)分析牙捉、靜態(tài)分析的方法，對該木馬進行了深入的分析敬飒，初步判斷該木馬具有持久化邪铲、自保護、...

這是在最近的測試項目里(準確來說就是昨天)發(fā)現(xiàn)的一個之前沒接觸過的漏洞无拗，通過該漏洞可以任意注冊Harbor鏡像倉庫的管理員權限角色带到，漏洞利用難度...

最近一直忙著實習面試，在準備面試的過程確實也補充了很多自己以前的知識盲區(qū)英染，雖然有點考前惡補的意思揽惹，但能學到知識總歸是好的。當然四康，面試的結果也還算...

0x01 什么是JWT JWT 全稱為 JSON Web Tokens搪搏，是為了在網(wǎng)絡應用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON 的開放標...

在平常的測試過程中，面對一個站點龐大的業(yè)務接口時箭养，難免會忽略其中某些存在問題的接口慕嚷，使用Burp與Xray聯(lián)動可以將被動掃描和手工測試結合，達到...

接上一條博文毕泌。 實施強效訪問控制措施 要求 7 ：按業(yè)務知情需要限制對持卡人數(shù)據(jù)的訪問 “知情需要“ 只授權訪問工作所需的最低限度的數(shù)據(jù)量和權限...

接上條博文： 打補丁要及時：燃臁！同時作為安全測試人員也應該時刻地主動關注漏洞的發(fā)布資訊撼泛，及時的排查存在威脅的安全事件挠说，并反饋給公司相關人員。同時應...

接上一個學習筆記內容繼續(xù)： 配置系統(tǒng)安全參數(shù)愿题。刪除非必要功能损俭，這一點確實有感觸蛙奖。很多時候，對方可能根本都不知道自己的某些資產開放了什么樣的服務或...