社工密码规则整理

目录 HACK

俗话说:人是最大的弱点,所以密码是个人安全和企业安全挥之不去的话题。

Mr. Robot中有这么一幕,Elliot通过特征字符串,生成一个字典,跑完后失败,说:这个年纪的人应该不会用别的密码,然后继续收集特征字符串,发现了目标养了个宠物,结果密码就是宠物名加数字组合。那么这个针对性字典如何生成,有什么规则或者规律,是这篇文章的主题。

继续阅读 “社工密码规则整理”

自动化业务逻辑漏洞检测构想

目录 HACK

谈自动化前先谈人工如何检测业务逻辑漏洞,通常分为3步:
1、业务场景建模
2、业务流程梳理
3、风险点识别
详情见业务安全测试流程

自动化检测也遵循这个流程,那么面临几个问题:
1、业务场景建模:是否需要建模?如何建模?
2、业务流程梳理:通过全自动的主动梳理?还是半自动的被动梳理?如何梳理?
3、风险点识别:能力范围?如何识别?

继续阅读 “自动化业务逻辑漏洞检测构想”