这是我在读研时期的一次真实的在外网进行ARP欺骗嗅探的实战案例，费时一周，一晃已经11年前了。技术难度不大，但是实战操作的技巧性大。笔者在实战过程中踩了一大堆的坑，如果对ARP欺骗的原理不清楚，一个错误操作都会造成目标...

虽然它有许多可用工具，BurpSuite 的主要功能就是拦截代理。这就是说，BurpSuite 拥有捕获请求和响应的功能，以及随后操作它们来将其转发到目的地。这个秘籍中，我们会讨论如何使用 BurpSuite 拦截或记录请求。...

尽管可以通过查看服务指纹的结果，以及研究所识别的版本的相关漏洞来识别许多潜在漏洞，但这通常需要非常大量时间。 存在更多的精简备选方案，它们通常可以为你完成大部分这项工作。 这些备选方案包括使用自动化脚本和程序...

几乎每个渗透测试项目都需要遵循严格的日程，多数由客户的需求或开发交谈日期决定。对于渗透测试者，拥有一种工具，它可以在很短的时间内执行单个应用上的多个测试，来尽可能在排期内识别最多漏洞很有帮助。自动化漏洞扫描器...

我们现在已经完成了渗透测试的侦查阶段，并且识别了应用所使用的服务器和开发框架的类型，以及一些可能的弱点。现在是实际测试应用以及检测它的漏洞的时候了。...

Goby 是一款新的网络安全测试工具，它能够针对一个目标企业梳理最全的攻击面信息，同时能进行高效、实战化漏洞扫描，其在本身功能的基础上可以安装很多主流的安全工具插件，从而实现更多功能。...

漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统 的安全脆弱性进行检

巨量数据泄露、暗网交易猖獗、国家进入紧急状态……这些网络安全事件背后都离不开勒索犯罪集团。2022年，勒索组织的活跃度不亚于往年，LockBit、Conti和Lapsus$三大勒索组织空前活跃，政府网站、医疗业、制造业、金融业等...

因为检测和处置的时间安排了明天，在这个时间里可以收集一下信息，这里给大家一个自己总结的信息收集表。

虽然此时还未到2022年年底，但并不妨碍我们整理一份2022年全球白帽常用的工具榜单，希望能给白帽们和企业安全人员们带来一定的借鉴和参考。