一、漏洞描述 致远OA是一套办公协同管理软件。近日，奇安信CERT监测到致远OA的相关漏洞信息。由于致远OA旧版本某些接口存在未授权访问，以及部...

一、 背景 本次挖矿木马的应急事件，配合老师给的信息，结合动态分析、静态分析的方法，对该木马进行了深入的分析，初步判断该木马具有持久化、自保护、...

这是在最近的测试项目里(准确来说就是昨天)发现的一个之前没接触过的漏洞，通过该漏洞可以任意注册Harbor镜像仓库的管理员权限角色，漏洞利用难度...

最近一直忙着实习面试，在准备面试的过程确实也补充了很多自己以前的知识盲区，虽然有点考前恶补的意思，但能学到知识总归是好的。当然，面试的结果也还算...

0x01 什么是JWT JWT 全称为 JSON Web Tokens，是为了在网络应用环境间传递声明而执行的一种基于JSON 的开放标...

在平常的测试过程中，面对一个站点庞大的业务接口时，难免会忽略其中某些存在问题的接口，使用Burp与Xray联动可以将被动扫描和手工测试结合，达到...

接上一条博文。 实施强效访问控制措施 要求 7 ：按业务知情需要限制对持卡人数据的访问 “知情需要“ 只授权访问工作所需的最低限度的数据量和权限...

接上条博文： 打补丁要及时！！同时作为安全测试人员也应该时刻地主动关注漏洞的发布资讯，及时的排查存在威胁的安全事件，并反馈给公司相关人员。同时应...

接上一个学习笔记内容继续： 配置系统安全参数。删除非必要功能，这一点确实有感触。很多时候，对方可能根本都不知道自己的某些资产开放了什么样的服务或...