破晓十分 | 使用Go反向代理;passhunt:用于搜索网络设备Web应用程序默认账号密码的便捷工具

Posted 破壳漏洞社区

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了破晓十分 | 使用Go反向代理;passhunt:用于搜索网络设备Web应用程序默认账号密码的便捷工具相关的知识,希望对你有一定的参考价值。


  神器  


Passhunt - Tool For Searching Of Default Credentials For Network Devices, Web Applications And More

passhunt:用于搜索网络设备、Web应用程序默认账号密码的便捷工具。passhunt可以查找到523位供应商总2084个默认账号密码,这下再也不用辛苦的一个一个搜索网络设备和Web应用的默认账号密码了。



Twitter链接:

https://twitter.com/wezmaster/status/969402788437372928

GitHub链接:

https://github.com/Viralmaniar/Passhunt


  姿势   


使用Go反向代理克隆钓鱼网站

Jonathan Cooper分享使用Go反向代理进行网络钓鱼网站克隆,温馨提示:仅供学习,请勿用在非法用途。Judas工具是一个钓鱼代理,使用命令行即可克隆网站。在渗透测试中,我们经常会使用nginx反向代理用做内网域名转发。


Github链接:

https://github.com/JonCooperWorks/judas

内容链接:

https://medium.com/@cooperthecoder/phishing-with-a-reverse-proxy-23dd99557b5b


 Google Cloud Platform 

Sam Stepanyan小哥发现的Google为任何拥有Gmail帐户的用户提供免费的Google Cloud Platform ,Cloud shell为Debian系统,有5Gb空间。 注册Google Cloud Platform免费试用,即可获得 300 美元的赠金,并可试用12 个月,还有机会获得永久免费资格。


破晓十分 | 使用Go反向代理;passhunt:用于搜索网络设备、Web应用程序默认账号密码的便捷工具


Twitter链接:

https://twitter.com/securestep9/status/710644931757522944

内容链接:

https://console.cloud.google.com/cloudshell 


  资讯  


Github周三遭受1.35T DDoS放大攻击,这次是Memchached的锅


破晓十分 | 使用Go反向代理;passhunt:用于搜索网络设备、Web应用程序默认账号密码的便捷工具





缓解措施

对于Memcache使用者

  • memcache的用户建议将服务放置于可信域内,有外网时不要监听 0.0.0.0,有特殊需求可以设置acl或者添加安全组。

  • 为预防机器器扫描和ssrf等攻击,修改memcache默认监听端口11211。

  • 升级到最新版本的memcache,并且使用SASL设置密码来进行权限控制。

对于网络层防御

  • 多个ISP已经对UDP11211进行限速。

  • 打击攻击源:互联网服务提供商应当禁止在网络上执行IP欺骗。IP欺骗DRDoS的根本原因。具体措施可以参考BCP38。

  • ISP应允许用户使用 BGP flowspec 限制入站UDP11211的流量,以减轻大型DRDoS攻击时的拥堵。


网站链接:

https://www.cyberscoop.com/github-denial-of-service-amplification-attack/


美国知名众测平台@Bugcrowd 宣布完成C轮融资2600万美金

如题,本轮领投方为Triangle Peak Partners。众测模式在海外发展得如火如荼,甚至得到美国国防部及军方的认可和尝试。另一知名众测平台HackerOne已于2017年2月宣布完成4000万美金C轮融资。


欢迎酷爱技术的你来破壳交流。

↓点击直通破壳

以上是关于破晓十分 | 使用Go反向代理;passhunt:用于搜索网络设备Web应用程序默认账号密码的便捷工具的主要内容,如果未能解决你的问题,请参考以下文章

在Go中使用反向代理进行网络钓鱼测试

go库中自带的反向代理功能和内网代理

go实现简单的反向代理工具

1 行 Go 代码实现反向代理

好文推荐:Go http反向代理实现

煎鱼 Go Gin 系列十七:用Nginx部署Go应用