Web安全漏洞实战挖掘之水平越权

最近华住集团信息泄露事件闹的挺大的,看新闻貌似是抓到贩卖数据的人了。于是自己在某漏洞平台SRC上随手找了一个酒店类的厂商测试了一下。在此也普及一下有关漏洞的原理,希望能够对安全从业者很好的防御此类漏洞。 在站点注册功能处,需要输入手机号、姓名、身份证号大量个人隐私信息。 经过测试这里姓名、身份证可以[…..]阅读全文

Linux 安全基线-操作系统Linux SUID/SGID文件安全基线

最近很多小伙伴私底下问到,Linux下root的环境变量和未授权的SUID和SGID为什么要加固?会有什么风险?具体有哪些危害?今天给大家简单介绍一下Linux的环境变量配置不当可以导致系统提权。 1、Linux的加固项介绍: 1.1 查找未授权的SUID/SGID文件 安全基线项目名称: 操作系统[…..]阅读全文

Linux 网络故障排除思路和方法

最近在对Linux系统网络配置中同学们出现各种问题,面对问题大家的思路比较混乱,没有解决问题的思路,今天给大家整理一下这个过程,系统能对刚入门的同学有所帮助。 1 ,检测网卡是否UP 服务器网卡有的需要手工开启,如果网卡不开启是无法使用的,开启的方法是ifconfig eth0 up [root@b[…..]阅读全文

Web漏洞之任意用户密码重置实例——新学员实战

作者:zzqsmile 我们7月份刚出来的学员,安全最主要的对所学的知识能够深度理解,熟练运用,在此恭喜zzqsmile,突破,这种突破不是技术上的,更多的是自信的突破 今天运气真好,早上上班来随便在盒子转转,找到个任意密码重置,加入社区好长时间了,也没发过一篇文章。 原因嘛,小白一个实在想分享却拿[…..]阅读全文

干货:通过一封垃圾邮件,找到罪魁祸首和受害人—最好别惹安全人

我们办公原来使用的腾讯企业邮箱,但是后面发现腾讯邮件垃圾邮件比较多,而且又不能群发邮件的控制等高级功能,后来使用的是阿里邮箱,一直很稳定,很方便,但是这段时间垃圾邮件收到的比较多,经常收到如下这样的垃圾邮件: 想这他们太嚣张了,不理他们就算了,还天天发,今天就要抽出时间,扒一扒他到底是谁 废话少说,[…..]阅读全文