社会工程学
  • WEB安全 | 钓鱼邮件的投递和伪造

    一、前言:在大型企业边界安全做的越来越好的情况下,不管是APT攻击还是红蓝对抗演练,钓鱼和水坑攻击被越来越多的应用。今天就先来说一下钓鱼这种传统而又有效的方式。而想要进行一次成功的想要进行一次成功的钓鱼攻击,首先需要了解现在主流的邮件的安全措施。二、邮件安全的三大协议1、SPF SPF是 Sender Policy Framework 的缩写,一种以IP地址认证电子邮件发件人身份的技术。 接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回

  • CVE-2019-7315:Genie访问WIP3BVAF IP摄像机目录遍历

    我们发现了一个目录遍历漏洞,它影响了Genie Access的WIP3BVAF WISH IP 3MP红外自动聚焦子弹相机。此安全漏洞可作为完全设备泄露的第一步,并已分配给CVE-2019-7315。发现路径遍历漏洞的概念证明(PoC)可以通过IP摄像机的Web管理界面利用目录遍历漏洞,使用以下URL:HTTP ://www.example.com/../../../../../etc/shadow以下是显示WIP3BVAF IP摄像机影子文件内容的屏幕截图,包括root密码哈希:

  • 隐藏在纯文本中:Jenkins插件漏洞

    Jenkins是一种广泛使用的开源自动化服务器,允许DevOps开发人员高效可靠地构建,测试和部署软件。为了充分利用Jenkins的模块化架构,开发人员利用插件来扩展其核心功能,允许他们扩展构建步骤的脚本功能。截至撰写时,Jenkins的插件索引中有超过1,600个社区贡献的插件。其中一些插件存储未加密的纯文本凭据。如果发生数据泄露,网络犯罪分子可以在没有组织知情的情况下访问这些数据。在7月11日和8月7日,Jenkins发布了安全建议,其中包括与纯文本存储凭据相关的问题。对于本博客,我们将专门讨论利用以下信息泄露漏洞和受影响的相应插件的

  • 数据查询社工各大论坛管理员帐号

    本文章时间已久,仅提供学习参考,未有侵犯个人或机构单位。

  • 伪造邮箱截图获得客服信任

    本文章时间已久,仅提供学习参考,未有侵犯个人或机构单位。

  • 利用历史截图之社工天际社区

    本文章时间已久,仅供学习参考,未有侵犯个人或机构。

  • 对某社工文章内站点再次社工

    本文章时间已久,仅供学习参考,未有侵犯各机构!

  • 小试牛刀之检测BC安全组

    本文章时间已久仅供学习参考,未有侵犯个人的小组。

  • 社会工程学的几个简单技巧

    交工程已经成为目前最盛行的攻击方式之一,而且在一些较大的数据泄漏案例中也总是出现。例如,2011年 RSA breach就遭遇了定向钓鱼和加载了漏洞的Excel文件。因此,对于有能力模拟真实攻击的企业而言,社工渗透测试应该成为每个渗透测试工具包的强制性 策略。

  • 数字Doppelgangers

    梳理存在超过20年。它尚未死亡。它还活着,甚至更多 - 它正在被网络犯罪分子积极开发。将被盗信用卡信息输入网上商店表格以购买商品和服务或使用在线支付系统帐户进行相同目的的“好”旧方法仍然像魅力一样。

  • 大规模的SIM交换欺诈

    SIM交换欺诈是一种帐户接管欺诈,通常针对双因素身份验证和两步验证的弱点,其中第二因素或步骤是SMS或拨打移动电话的呼叫。欺诈的中心是利用移动电话运营商将电话号码无缝移植到新SIM卡的能力。

共有1页首页上一页1下一页尾页
技术支持: 建站ABC | 管理登录