目前各单位都在使用基于RFID技术的门禁卡,但是基于成本或者门禁卡自身的技术原因导致存在一些安全隐患,针对这些安全隐患需要引起一定的注意。 一、基于 RFID技术的 ID卡和IC卡 1.基本概念 ID…
关于hardCIDR hardCIDR是一个功能强大的Linux Bash脚本,但也可以在macOS操作系统中运行。该工具可以帮助广大研究人员在渗透测试的情报收集阶段扫描和发现目标组织所拥有的网块或I…
案例一 发现点 在找资产的过程中找到了一个业务,发现一个可以上传的功能点。有个添加货物功能,里面有个图片上传,是上传到桶里的。 请求中隐去无关参数,关键参数是good_image,里面是一个key(图…
Docker 利用特权模式逃逸并拿下主机 在溯源反制过程中,会经常遇到一些有趣的玩法,这里给大家分享一种Docker在特权模式下逃逸,并拿下主机权限的玩法。 前言 在一次溯源反制过程中,发现了一个主机…
未授权访问查看管理员账号密码 目标是个网关系统,使用弱口令进入系统后,开始测试功能点,在系统用户处测试抓包: 删除cookie后发现仍然可以访问管理员相关信息包括密码、手机号码等: 浏览器直接访问,然…
了解 Redis是一个开源的、使用C语言编写的、支持网络交互的、可基于内存也可持久化的Key-Value数据库。 以MemcacheDB、Tokyo Tyrant为代表的key-value分布式存储,…
常用命令和工具: metasploit nmap sqlmap 中国蚁剑 冰蝎 dirsearch dirbuster 等常用工具就不在此介绍了 nmap 192.168.26.0/24 nmap -…
APache Dubbo简介 Dubbo是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是个服务框架,如果没有分布式的需求,其实是…
命令执行的三种方式 java基本语法知识是java代码审计的基础 在学会了java基础语法后,还要对javaweb有了解,如什么是servlet、jsp,怎么用,什么原理? 了解了javaweb后,就…
使用Spring测试流程 使用Spring测试流时,您将特定的业务逻辑流(即用户故事)视为单元,这意味着来自不同层的负责特定流的多个类可能会一起进行测试。但是,被测对象可能依赖于其他对象。它可能需要与…

RadeBit瑞安全

RadeBit瑞安全