免则声明:本公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权转载和其他公众号白名单转载,如需转载,联系作者开白。文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其...
02月01日9 views评论小程序
视频教程
记一次自动化域名收集获得JS中钉钉token利用
02月01日9 views评论小程序
视频教程
02月01日9 views评论小程序
视频教程
EDU-SRC实战 | UEditor1.4.3net编辑器文件上传
点击蓝字 原文始发于微信公众号(SecHub网络安全社区):EDU-SRC实战 | UEditor1.4.3net编辑器文件上传
02月01日安全文章20 views评论action
controller
某bi另一种getshell方法
漏洞分析 | xxl-job的命令执行详解
0x01 Executor命令执行0x01.1 漏洞复现Shell脚本数据包如下:POST /run HTTP/1.1Host: 127.0.0.1:9999Content-Length: 365Ac...
02月01日18 views评论命令执行
漏洞分析
HackTheBox-Preignition
初始点0级第六关Preignition首先获取目标IP。ping目标IP,检查连接是否正常。ping {target_IP}然后用nmap对目标进行扫描。nmap -sV {target_IP}结果显...
02月01日14 views评论hackthebox
nmap
Server as Client 漏洞模型
一前 言在漏洞挖掘工作中,攻击面的选择往往是一个非常重要的环节,一些意想不到的攻击面中往往存在大量开发测试人员疏忽的点。本文就关于一种有趣的攻击面进行探讨,将其起名为SaC(Server as Cli...
02月01日12 views评论rpc
攻击面
逻辑漏洞简介
逻辑漏洞是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改,确权访问,密码找回,交易支付金额等功能处。逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理...
02月01日14 views评论越权漏洞
逻辑漏洞
攻防渗透信息收集
信息收集的意义信息收集对于渗透测试前期来说是非常重要的。正所谓,知己知彼百战不殆,信息收集是渗透测试成功的保障,只有我们掌握了目标网站或目标主机足够多的信息之后,才能更好地进行渗透测试。信息收集的方式...
02月01日14 views评论信息收集
渗透测试
实战纪实 | 某医院系统swagger接口未授权 + Springboot信息泄露
扫码领资料获网安教程本文由掌控安全学院 - 17828147368 投稿开局还是先测一下登录框,弱密码走一波,无果通过指纹识别出该站是springboot开发,扫描目录查看是否存在泄露存在泄露,访问地...
02月01日10 views评论信息泄露
未授权
软件供应链安全审计心得交流
插件分享|记一次浏览器插件带来的防护绕过
声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。现在只对常读和星标的公众号才展...
02月01日18 views评论0day
forwarded
DDoS攻击:企业与个人都应了解的基本知识
01引言 在数字化的世界里,网络攻击已成为企业和个人都必须面对的挑战。其中,分布式拒绝服务(DDoS)攻击作为一种常见的网络攻击手段,对企业和个人的网络安全构成了严重威胁。 DDoS攻击通...
02月01日14 views评论ddos
网络安全
5487