使用Azure虚拟主机的托管标识进行横向移动,托管身份是什么,人们为什么使用它们,以及我们是否可以滥用它们横向移动,枚举目标机器上的所有用户,此问题的根本原因是由于委派不当。不建议订阅或资源组级别委派权限,因为权限将向下继承到同一组或订阅中的所有资源
Read more
标签: 渗透测试
Python的10个未知安全漏洞陷阱
Python的10个未知安全漏洞陷阱,在这篇博文中,我们分享了我们在实际Python项目中遇到的10个安全陷阱。我们选择了我们认为在开发者社区中鲜为人知的陷阱。我们希望提高您的安全意识。如果您正在使用这些功能中的任何一个,请务必检查您的Python代码!
Read more
burpsuite主动扫描插件之ActiveScan++
burpsuite主动扫描插件之ActiveScan++,[一句话:可以扫描CVE-2021-44228(Apache Log4j任意代码执行漏洞)的burp插件],扩展了Burp Suite的主动和被动扫描功能,识别高级测试人员可能感兴趣的应用程序行为
Read more
Apache Log4j任意代码执行漏洞|RCE
Apache Log4j任意代码执行漏洞|RCE,大多数情况下,开发人员可能会将用户输入导致的错误信息写入日志。攻击者可以利用该特性通过该漏洞构造特殊的数据请求包,最终触发远程代码执行,苹果官网,百度,steam,Minecraft等均受到影响
Read more
Linux持久性访问Auditd Sysmon Osquery和Webshell
Linux持久性访问Auditd Sysmon Osquery和Webshell,通过给出这些持久性技术的具体实现,我希望让防御者更好地了解他们究竟试图检测什么,以及一些他们如何测试自己的警报的清晰示例,linux持久化控制检测方法
Read more