专注企业信息安全

分类安全无止界

安全

邮件伪造实践

邮箱邮件安全如何做?从邮件伪造原理和常见的钓鱼邮件入手,看看如何来伪造邮件并提供伪造邮件代码工具。通过SPF、DKIM、DMARC、PTR等方法来组织伪造邮件,并提供一些方法来加固邮件以及提升使用邮件过程中的安全意识。

枚举子域名

通过搜索引擎、Google HTTPS证书透明度、流量代理、GitHub搜索、DNS域传送、crossdomain.xml、DNSPod、DNS查询爆破等方式来枚举子域名,并DNS服务商公布的子域名数据加上通用字典和其它子域名爆破工具的字典结合起来使用Python Asyncio协程和多进程快速的枚举子域名。

如何解决硬编码密钥风险?

硬编码密钥存在什么风险? 密钥暴露面越多,风险就越大 密钥硬编码在代码中导致的直接结果就是代码在哪里,密钥就在哪里。研发人员电脑上存在密钥,如果电脑被攻击则密钥也会被泄漏。其次研发人员会因为没有安全意识,将代码上传至各类私有云盘或家里电脑又或是U盘中,导致风险面增大。更有甚者,将代码上传至GitHub,而忽略了代码中的硬编码密钥,从而被恶意着利用,比如我曾经发现的控制某云厂商全部管理权限。 攻击者拿到硬编码密钥后攻击成本较低 攻击者无论通过什么方式拿到你代码,首先就会去看硬编码密钥部分,尝试去利用这些代码中的明文密钥,比如存在邮箱密码则会去尝试登陆你的邮箱进一步渗透挖掘邮件中有价值的内容,有FTP账号密码则会尝试连接FTP挖掘FTP Server中有价值的文件。 硬编码暗示着你不会去变更它...

UCloud GET SHELL

U

1 漏洞入口 GSIL监测到一处敏感信息泄露,涉及UCloud的一些系统(设计运营系统、General Compute Operation Support System、通用计算平台运营系统、UGC平台的运营管理系统)的代码泄露。 *******g/*** 2 信息泄露 其中包含一些邮件账号密码 send_account := "***-noreply@ucloud.cn" send_password := "U**********3" host := "smtp.qiye.163.com:25" 发送邮件验证测试 数据库账号密码及其他配置信息 3 扩大影响 通过Cobra扫描了下泄露的源码,发现了几处SQL注入。 入参就是SQL,很是明显,而且未做任何权限认证。 .***.***.***:***/query?q=show%20databases; .***.***...

专注企业信息安全

标签

Loading