记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

浅谈企业网络边界安全

0x01 企业网络边界 我们知道既然要从外围进入内网,那么必然要做的一件事情就是跨越边界,所有这个命门我们也就自然应该在企业的内外网边界上来寻找。 那为什么企业需要在内外网之间部署这样一个边界呢?我们只要作为一个大企业来说他会有上百甚至上千个业务线,而安全团队或许只有几十人,那这几十人要保证这上千个业务线的安全,显然如果用布点的方式肯定无法完成覆盖的,所以企业在思考如何进行防御的时候会选择区域性防守。 所谓区域性防守就是把重点需要保护的业务&数据放到一个指定的区域,让后对这个区域进行隔离,并指定好进入这个区域的防火墙策略。然后定期对这个区域进行安全检查。 如果这样实施的很好,看起来一切都很完美。但是事实上并不尽人意,事实是这样的,在企业内部通常业务部门是会比安全部门强势的,这一点我相信大家都知道。 那么
发布时间:2016-08-24 08:10 | 阅读:197920 | 评论:0 | 标签:Web安全 github host绑定 ssrf 企业 内网 密码重置 弱口令 漏洞 物理接触 用户名密码爆破 社工

个人信息泄露的危害到底离你有多远?

虽然自己已经回答过这类问题,还写这篇文章是因为我收集了资料后稍微系统的整理了一下。 多图预警 大纲 国内个人信息泄露程度 信息泄露的危害离你有多远 保护个人信息的常用方法 参考资料 一 ,国内个人信息泄露程度 因为近十几年来,国家互联网飞速发展,国内网民直线上升(2015年网民规模已经达到6.88亿),开设的大大小小的网站也越来越多(域名总数3102万个)。但是正如你所见,网站多且庞杂,他们有一个普遍的弱点——安全建设差。而这些庞杂的大小网站储存的个人信息量却是惊人的。 网络安全这东西本该是互联网建设之中的重中之重,但是真正来说互联网安全上升到国家层面是近几年的事。这就像环保,好像等经济发展到一定程度之后才引起人们的重视和关注。 然而至今为止,国内网络安全的发展依然远远跟不上互联网发展的速度,国内网络安全起
发布时间:2016-08-18 19:45 | 阅读:135180 | 评论:0 | 标签:网络安全 个人信息 信息泄露 公共WiFi 数据泄露 社工库 网站漏洞 补卡攻击 防止撞库

使用Whoosh实现的社工库应用

整理电脑的时候翻出了之前用Python写的一个社工库,使用Whoosh对社工库文件按行分词建立索引,直接利用索引来查密码,返回json格式结果。‍以前收集了很多泄露的数据库,包含txt、sql、csv、html、xlsx、xls等文件类型,文件内容也是多种多样。想把这些数据处理一下做个社工库,方便以后自用。网上大多都是利用PHP+Mysql来搭建社工库,把数据分类处理一下格式,然后将格式化之后的存入数据库再进行搜索。本打算搭建一个试试,后来仔细想想放弃了。首先对这些数据进行整理是一个非常耗时的事情,还需要对不同格式的数据做相应的处理;其次数据整理后存储入数据库,数据多了,查询效率可能也不是很高,所以就放弃了。后来看到关于Whoosh的介绍,一个完全由python实现的全文搜索引擎,基础架构
发布时间:2016-01-05 04:05 | 阅读:154713 | 评论:0 | 标签:数据安全 whoosh 大数据 社工库

htpwdScan — 一个简单的HTTP暴力破解、撞库攻击脚本

htpwdScan功能 李姐姐之前跟我们分享了子域名枚举工具subDomainBrute《subDomainsBrute — 改进渗透测试时暴力枚举子域名的python脚本》,这回带给我们htpwdScan htpwdScan 是一个简单的HTTP暴力破解、撞库攻击脚本: 1. 支持批量校验并导入HTTP代理,低频撞库可以成功攻击大部分网站,绕过大部分防御策略和waf 2. 支持直接导入互联网上泄露的社工库,发起撞库攻击 3. 支持导入超大字典 4. 其他细微功能:随机X-Forwarded-For、随机SessionID,支持Basic Auth,支持MD5 Hash等 下面是几个简单示例 HTTP Basic认证 htpwdScan.py -u=http://auth.58.com/ -basic user
发布时间:2015-04-24 02:00 | 阅读:174044 | 评论:0 | 标签:工具 htpwdScan htpwdScan.py HTTP暴力破解 lijiejie 低频撞库 撞库攻击 撞库攻击脚本

【透明互联网】社工库 Social Engineering Data

各种泄露查询,你懂的!QQ群:https://qqgroup.insight-labs.orghttps://s3.amazonaws.com/qqqun./index.html(与insight-labs类似)www.weigongkai.comhttp://qun.594sgk.com/http://chaxun.langzuwl.com/qun密码泄露查询http://cha.xiyv.nethttp://594sgk.com/http://t.easyicon.net/hidden.php(CSDN、人人网、天涯论坛)http://9cha8.cn/index.aspxhttp://lucky.anquanbao.com/(信息模糊)https://haveibeenpwned.com/(国外站)htt
发布时间:2014-04-10 03:30 | 阅读:327710 | 评论:0 | 标签:安全相关 社工库

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云