《发展网络安全能力》中文完整版发布
历时半年多,利用业余时间,一点点啃完了整份报告的正文部分。关于后边引用的资料和附件部分没有翻译,意义不是很大。本研究报告推荐阅读人群:CEO、CIO、CISO、合规安全研究员。
https://www.freebuf.com/articles/paper/225637.html渗透测试工程师视角下的渗透测试流程
众所周知,Web应用的渗透测试可分3个阶段:信息搜集、漏洞发现、漏洞利用,但是在给甲方做渗透时就需细化流程。
https://www.freebuf.com/articles/network/224495.html2019年汽车网络安全事件数量翻番,自2016年增加605%
Upstream Security发布了2020年《汽车网络安全报告》,深入统计相关数据,这些数据是针对过去十年中367起公开报道的汽车网络安全事件分析,重点是2019年发现的漏洞及分析。
https://www.freebuf.com/articles/terminal/224936.htmlXXE从入门到放弃
XXE全称XML External Entity Injection,也就是XML外部实体注入攻击,是对非安全的外部实体数据进行处理时引发的安全问题。要想搞懂XXE,肯定要先了解XML语法规则和外部实体的定义及调用形式。
https://www.anquanke.com/post/id/197423SSRF漏洞利用与getshell实战
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求,利用服务器端发起的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务器端发起的,所以服务器能请求到与自身相连而外网隔离的内部系统)。
https://www.anquanke.com/post/id/197431
(信息来源于网络,溪边的墓志铭搜集整理)
