前端JS加密测试场景下的困惑在渗透测试过程中经常会遇到JS前端加密的场景,假如不借助任何工具的情况下,我们一般是把JS代码进行扣取,本地进行加解密生成Payload,然后在Burpsuite里进行Pa...
Google图书上发现存储型XSS
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
记一次攻防实战全流程
如果我嚷几声,能叫醒那几个人,你就绝不能说他没有毁坏这铁屋的希望DMZ区1、信息收集首先进行信息收集,使用Nmap对其进行扫描端口服务:21、22、80、111、888、3306、8888,可以看到目...
SOAP协议安全攻防录
文章前言在HW期间针对给定的目标范围进行信息收集的阶段,我们时而会遇到WSDL(Web Services Description Language)的XML格式文件,其定义了Web服务的接口、操作、消...
软件供应商攻防常规战之SDL
软件供应链的安全问题越演越烈,在近几年的国家级实战攻防演习中频频发生。即使是在常态化,我们也在不断地帮客户(被供应链攻击的上游客户)应急或在自家环境中发现过此类事件。因此企业在防守难度上,又新增了一块...
CVE-2024-0738漏洞挖掘过程学习
免责申明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!!应粉丝要求小编将往期poc和我...
域名解析+刷赞+返回状态码+代理
域名源码解析添加域名解析添加成功,浏览器访问成功真实案例:新闻回帖重复点赞-重放数据包抓取点赞数据包发送到repeater模块,重复点击放包重复发送了十次,可以看见点赞多了十次移动端&PC访问...
第五节:云上容器安全威胁(二)执行
基础到深度了解容器安全常见容器安全威胁来源于构建环境安全、运行时安全、操作系统安全、编排管理安全等,参考下图阿里云云上容器ATT&CK攻防矩阵,进行体系化研究: 01常用容器服务组件缺陷利用通...
SpiderFlow爬虫平台RCE漏洞
免责声明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!!漏洞描述SpiderFlow是...
读取本地安全机构子系统服务 (LSASS) 的 PID 的 14 种方法
介绍在注入 shellcode 或转储内存之前,进程枚举是必需的。威胁参与者倾向于将 CreateToolhelp32Snapshot 与 Process32First 和 Process32Next...
从webpack开始发现的漏洞大礼包
前言信息收集贯穿渗透测试的全过程webpack发现后台地址日常SRC发现一个比较偏僻的域名,很有可能存在漏洞。git搜域名没找到源码。顺手翻了下js,发现webpack打包的源码,然后赶紧去搜了搜这个...
记某次应急响应过程的社工溯源
#############################免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提学习,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无...
5520