Google Cloud Shell - 命令注入什么是 Google Cloud Shell?Cloud Shell是一个在线开发和操作环境,可以通过浏览器在任何地方访问。您可以使用它的在线终端来管...
java审计之xss漏洞审计
XSS漏洞原理攻击者在被攻击的web服务器网页中嵌入恶意脚本,通常使用js编写的恶意代码,当用户使用浏览器访问被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。XSS其实也是注入的一种,前端注...
使用hydra破解ssh密码
清明时节雨纷纷清明时节雨纷纷清明时节雨纷纷点击上方蓝字 关注我们学习涨知识,三连一下呗。使用hydra破解ssh密码一、hydra简介 ...
【€300】打破逻辑:不安全的参数
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍今天的两个案例分享来自国外一位名叫...
实战|SRC挖掘初探之随缘XSS挖掘
最近试着去学挖洞,在测某SRC的一些业务时发现以下几个XSS的点。对于一些请求参数在返回的html中以隐蔽的标签形式出现的XSS,感觉还是挺常见的。这里我写了个Bp的插件用来监听请求并捕获这种情况:S...
另辟蹊径:揭秘一款通过公开笔记中转通信的新型远控工具
概 述近期发现一款通过独特方式进行远程控制的工具,它通过公开笔记作为控制命令中转平台来隐匿远程控制行为,该工具不仅具有一定的免杀能力,在流量侧由于全程通过HTTPS协议进行通信,因此还具备一定的防检测...
一台服务器最大能支持多少条 TCP 连接
作者:文攀https://juejin.cn/post/7162824884597293086一、一台服务器最大能打开的文件数1、限制参数我们知道在Linux中一切皆文件,那么一台服务器最大能打开多少...
记一次金融站点的验签破解实战
0x01 前言近期同事遇到一个金融站点的前端加签验证问题,找到本菜鸡一起帮忙分析。经过测试发现,客户端每次请求都会对数据包进行加签,然后服务端会对数据包进行验签。解决大概思路:确定加签关键字->...
高效的黑盒探测SQL注入
https://github.com/smxiazi/xia_sql先推崇一下这个burp插件,其思路和我手工探测SQL注入的原理非常一致。在这个遍地是waf,动不动封你ip的情况下,利用传统爬虫或者...
LLVM Pass PWN(上)
LLVM 命名最早源自于底层虚拟机(Low Level Virtual Machine)的缩写,由于命名带来的混乱,LLVM就是该项目的全称。LLVM 核心库提供了与编译器相关的支持,可以作为多种语言...
浅谈JS-Forward前端-参数解密
这两月推的前端JS参数解密比较火的JS-Forward,,认真看了下,作者的Js逆向玩的挺好,初衷就如作者所说,https://github.com/G-Security-...
实战 | 记录一次漏洞挖掘渗透经历
前言技术很菜,有什么错误和不足还请师傅们指正目标本次渗透的目标是补天上某项目,通过信息收集找到了登陆界面对一个网站渗透的方法有很多,遇到这样的界面我们通常的思路就是查网站源码、万能密码登录、XSS、S...
27