猫头鹰
信安舆情早知道

Mottoin Team的文章

内网渗透

MS14-068域权限提升漏洞分析

Mottoin Team阅读(1231)评论(1)

0x01 漏洞起源 说到ms14-068,不得不说silver ticket,也就是银票。银票是一张tgs,也就是一张服务票据。服务票据是客户端直接发送给服务器,并请求服务资源的。如果服务器没有向域控dc验证pac的话,那么客户端可以伪造域...

专题

互联网企业安全高级指南读书笔记之二

Mottoin Team阅读(1311)评论(1)

《互联网企业安全高级指南读书笔记之一》 继续贴完这本书的读书笔记脑图,文末附上了一些个人感悟。 第六章 基础设施安全 第七章 网络安全 第八章 入侵感知体系 第九章 漏洞扫描 总结 总得来说,互联网企业和传统行业企业在安全建设的思路上,殊途...

专题

互联网企业安全高级指南读书笔记之一

Mottoin Team阅读(1508)评论(0)

春节前花了几天时间,终于把这本书完整读完了。受益匪浅! 这是市面上第一本从总览的视角陈述甲方企业安全建设思路与框架,描绘企业内部信息安全全貌的书。 除了“战略”层面的全局观,这本书还难能可贵的深入了一些技术细节,在“战术”层面也不乏很多干货...

Web安全

JSONP注入实践

Mottoin Team阅读(3415)评论(0)

JSONP注入是一个鲜为人知的但是非常广泛和危险的漏洞。它在近几年才出现,由于JSON,web API和跨域通信的急需。 什么是JSONP 假设每个人都知道JSON是什么,让我们谈谈一下JSONP。 JSONP来自带有填充的JSON,被创建...

专题

业务安全冷知识

Mottoin Team阅读(2321)评论(0)

前言 年前突然想写一篇简单易读的文章,讲一点可能会被忽略的业务安全问题,这些问题都算不上是漏洞,但可以对公司造成一定的影响,所以我这里称他们为冷知识,当中会涉及一些竞品分析的点,部分内容对中小型互联网企业都通用。有问题可与我联系wechat...

专题

大数据应用安全检测与防御(二)

Mottoin Team阅读(1565)评论(0)

0x01 前言 随着大数据时代的到来,越来越多的大数据技术已逐渐被应用于实际生产,但作为一个安全人员,我们关注点必然和安全相关,那大数据环境中面临的安全问题又有哪些呢?Stardustsky牛的《攻击大数据应用(一)》对大数据的一些技术做一...

专题

SRC漏洞挖掘小见解

Mottoin Team阅读(2802)评论(1)

0x01 本文由来 前段时间一直忙着工作也没有好好的总结一下,今天趁着周末来总结一下前段时间关于漏洞挖掘的一些心得。 0x02 说在前面的话(扯淡) 漏洞挖掘我并不是什么大牛,还只是一个在慢慢摸索前行的学习者,也欢迎大家一起来交流漏洞挖掘技...

MottoIN 换一个角度看安全

寻求报道联系我们