你熟悉“误植域名”(typosquatting)这个术语吗?这是一种域名抢注,可能会损害你的品牌和声誉。我们在这篇博文中将探讨误植域名是什么、它与域名抢注的区别,并提供如何防止这种行为的要点。另外,我...
记一次对某企业的渗透测试
声明:本次演练中,所有测试设备均由主办方提供,所有流量均有留档可审计,所有操作均在授权下完成,所有数据在结束后均已安全销毁。 前言 某次攻防演练中,主办方只提供了目标企业名称,其他信息都需要自己收集,...
CCTV主站被做黑帽SEO
2023年6月16日晚上19点左右,访问CCTV域名: https://www.cctv.com/mmia/ 会跳转到博彩网站页面,如下图 通过分析请求,可以看到,通过js跳转到了博彩域名: 20点左...
python脚本--暴力破解二级域名
在渗透检测中,经常需要搜集目标网站的域名信息,比如搜集二级域名、三级域名,以及一些注册信息等等,今天我在...
信息收集的方法(一)
一.敏感信息文件 攻防测试中探测web目录和隐藏的敏感文件是很重要环境,从中可以获取很多敏感信息例如网站后台管理页面、文件上传界面、备份文件等。 1.通过工具扫描的方式 dirsearch,御剑,7k...
地级市HVV | 未授权访问合集渗透测试
在网站前后端分离盛行下,将大部分权限控制交给前端,导致js中隐藏未授权或者可绕过的前端鉴权。前后端分离的好处是提高开发效率,同时防止黑客更直接的对服务器造成危害,但权限控制的工作量全部交给前端会导致大...
猫鼠游戏对抗:一个隐蔽通信的演变-从域前置技术演变到PAAS重定向
前言的前言:本文转载自公众号:帮刀哥打广告,师傅们见谅,明天棉花糖会更新nessus最新插件前言红蓝对抗一直是一个不断演变和变化的领域,攻防双方都在不断地适应和进化自我。在立足于隐秘通信技术时,域前置...
社会工程学 | 利用.zip域名钓鱼攻击新型技术手法
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
利用.zip域名钓鱼攻击新型技术手法
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
实战 | 某新疆职业技术学院逻辑漏洞
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
记一次某新疆职业技术学院逻辑漏洞
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
IP和域名碰撞匹配访问的小工具
Hosts_scan 这是一个用于IP和域名碰撞匹配访问的小工具,旨意用来匹配出渗透过程中需要绑定hosts才能访问的弱主机或内部系统。 IP_hosts_scan_multithreading.py...
55