破晓十分 | 使用Go反向代理;passhunt:用于搜索网络设备Web应用程序默认账号密码的便捷工具
Posted 破壳漏洞社区
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了破晓十分 | 使用Go反向代理;passhunt:用于搜索网络设备Web应用程序默认账号密码的便捷工具相关的知识,希望对你有一定的参考价值。
神器
神器
Passhunt - Tool For Searching Of Default Credentials For Network Devices, Web Applications And More
passhunt:用于搜索网络设备、Web应用程序默认账号密码的便捷工具。passhunt可以查找到523位供应商总2084个默认账号密码,这下再也不用辛苦的一个一个搜索网络设备和Web应用的默认账号密码了。
Twitter链接:
https://twitter.com/wezmaster/status/969402788437372928
GitHub链接:
https://github.com/Viralmaniar/Passhunt
姿势
姿势
使用Go反向代理克隆钓鱼网站
Jonathan Cooper分享使用Go反向代理进行网络钓鱼网站克隆,温馨提示:仅供学习,请勿用在非法用途。Judas工具是一个钓鱼代理,使用命令行即可克隆网站。在渗透测试中,我们经常会使用nginx反向代理用做内网域名转发。
Github链接:
https://github.com/JonCooperWorks/judas
内容链接:
https://medium.com/@cooperthecoder/phishing-with-a-reverse-proxy-23dd99557b5b
Google Cloud Platform
Sam Stepanyan小哥发现的Google为任何拥有Gmail帐户的用户提供免费的Google Cloud Platform ,Cloud shell为Debian系统,有5Gb空间。 注册Google Cloud Platform免费试用,即可获得 300 美元的赠金,并可试用12 个月,还有机会获得永久免费资格。
Twitter链接:
https://twitter.com/securestep9/status/710644931757522944
内容链接:
https://console.cloud.google.com/cloudshell
资讯
资讯
Github周三遭受1.35T DDoS放大攻击,这次是Memchached的锅
缓解措施:
对于Memcache使用者
memcache的用户建议将服务放置于可信域内,有外网时不要监听 0.0.0.0,有特殊需求可以设置acl或者添加安全组。
为预防机器器扫描和ssrf等攻击,修改memcache默认监听端口11211。
升级到最新版本的memcache,并且使用SASL设置密码来进行权限控制。
对于网络层防御
多个ISP已经对UDP11211进行限速。
打击攻击源:互联网服务提供商应当禁止在网络上执行IP欺骗。IP欺骗DRDoS的根本原因。具体措施可以参考BCP38。
ISP应允许用户使用 BGP flowspec 限制入站UDP11211的流量,以减轻大型DRDoS攻击时的拥堵。
网站链接:
https://www.cyberscoop.com/github-denial-of-service-amplification-attack/
美国知名众测平台@Bugcrowd 宣布完成C轮融资2600万美金
如题,本轮领投方为Triangle Peak Partners。众测模式在海外发展得如火如荼,甚至得到美国国防部及军方的认可和尝试。另一知名众测平台HackerOne已于2017年2月宣布完成4000万美金C轮融资。
欢迎酷爱技术的你来破壳交流。
↓点击直通破壳
以上是关于破晓十分 | 使用Go反向代理;passhunt:用于搜索网络设备Web应用程序默认账号密码的便捷工具的主要内容,如果未能解决你的问题,请参考以下文章