网络安全

SCA 技术进阶系列(五): 揭秘运行时SCA – 新视角下的供应链安全革新

一、静态 SCA 工具的“警报疲劳”SCA 工具在识别和管理应用程序中的第三方依赖及风险方面起着至关重要的作用,是云原生时代下数字供应链风险治理必不可少的基础设施。然而,基于源代码…

信呼OA普通用户权限getshell方法

0x01 前言信呼OA是一款开源的OA系统,面向社会免费提供学习研究使用,采用PHP语言编写,搭建简单方便,在中小企业中具有较大的客户使用量。从公开的资产治理平台中匹配到目前互联中…

Web应用防火墙的使用效率问题与替代性技术的深入讨论

写在前面的话对于安全社区来说,Web应用防火墙(WAF)似乎一直以来都是一个大家默认都要使用的东西,而且几乎也没有人会反对使用Web应用防火墙。在这篇文章中,我们将给大家提供一个新…

ApateWeb:一场大规模流氓安全软件、PUP感染和网络诈骗活动

写在前面的话近期,Unit 42的研究人员发现并识别了一个大规模的恶意活动,我们将其取名为ApateWeb。该活动使用了大约13万个网络和域名来传播流氓安全软件、潜在的不必要程序(…

AnyDesk白工具黑利用:RMM软件与“兜圈子”的网络钓鱼活动

写在前面的话远程监控和管理(RMM)软件,包括AnyDesk、Atera和Splashtop等流行工具在内,对当今的IT管理员来说是非常宝贵的,因为它们可以简化IT任务并确保网络的…

FOFA资产拓线实战系列:Ducktail犯罪组织

概述Ducktail是一个2021年被发现的网络犯罪组织,具有越南背景。该组织主要针对Facebook企业账号进行攻击,通过伪装成图片、文档等文件的恶意程序,利用鱼叉式攻击方式攻击…

用来批量制作“假脸”,iOS 面部识别数据正在被黑客窃取

2023 年 10 月,针对越南五十余家金融机构进行攻击的安卓银行木马 GoldDigger 浮出水面。通过对其持续跟踪分析,研究人员发现一整套针对亚太地区的银行木马。其中,研究人…

30种经典网安模型介绍(中)

前言我们在前面一篇文章中依次介绍了PDR模型、P2DR模型、PDRR模型、PDR2A模型、IPDRR模型、APPDRR模型、PADIMEE模型、WPDRRC模型、自适应安全框架AS…

USB 设备开发:从入门到实践指南(二)

接着上一篇遗留的问题,继续对USB设备开发进行研究。1 模拟鼠标在上一篇的Paper中,我们尝试对USB键盘进行模拟,下一步再尝试对USB鼠标设备进行模拟。在能成功模拟键盘的基础上…

综述:模糊测试的艺术、科学和工程(下)

在综述《模糊测试:艺术、科学与工程(上)》中,着重探讨了模糊测试的分类及其工作流程中的预处理和调度算法。本篇文章将重点介绍测试用例的生成策略、测试与评估方法、测试过程中的分流策略,…