0x01 工具介绍 toxssin 是一种开源渗透测试工具,可自动执行跨站脚本 (XSS) 漏洞利用过程。它由一个 https 服务器组成,它充当为该工具 (toxin.js) 提供动力的恶意 Jav...
本地文件包含(LFI)一个有趣漏洞
概括本地文件包含 (LFI) 是一种 Web 应用程序漏洞,允许攻击者在 Web 服务器上包含和执行任意文件。攻击者可以通过将恶意文件路径作为参数传递来利用此漏洞,该路径可能是服务器上的本地文件。这可...
利用OAuth2.0快速攻击数亿个用户账户
OAuth协议介绍OAuth是一种标准授权协议,它允许用户在不需要向第三方网站或应用提供密码的情况下向第三方网站或应用授予对存储于其他网站或应用上的信息的委托访问权限。OAuth通过访问令牌来实现这一...
2023的第一个重大0day漏洞,几乎影响所有组织
近日网络安全新闻网站Dark Reading 披露,Outlook 中存在重大零日漏洞 CVE-2023-23397,称该漏洞非常危险,几乎影响所有组织。具体来说攻击者只需要通过一封邮件就远...
小心被溯源反制,还不注意??
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
全球大量VMware ESXi 服务器被勒索
0x01 利用情况勒索组织使用一年前公布POC的CVE-2021-21974(VMware ESXi OpenSLP heap-overflow vulnerability)漏洞,攻破勒索了全球至少1...
CNVD-2023-19775--phpstudy-Linux用户名sql注入复现
xi水一段:phpStudy Linux 面板是什么phpStudy Linux 面板是由phpStudy官方团队(xp.cn)针对Linux服务器推出的一款服务器环境搭建以及管理工具。注意:phpS...
PHP开发服务器远程源代码泄露漏洞原理剖析
PHP Built-in Server是PHP自带的Web服务器,多用于在研发阶段快速启动并运行一个可以执行PHP脚本的Web服务器。由于其性能及安全性并没有得到完好的保障,故PHP官方并不建议在生...
如何抓取app直播源地址(完整教程+模拟器篇)
直播源介绍首先,我们来快速了解一下什么是直播源,所谓的直播源,其实就说推流地址,推流地址可能你也不知道是什么,那么我再简单说一下,推流地址就是,当某个直播开播的时候,需要将自己的直播状态实时的展示给观...
实战|记一次完整体系的攻防演练
前言,本次笔记是记录在工作中的一个攻防演练环境搭建和通过部署的应用存在的文件上传漏洞getshell,接着上线frp,接着上线msf,实现msf远程渗透。准备工作:1,在客户的内网环境部署一个Wind...
被黑客用nginx攻击了网站,该怎么办?
最好的防御方式就是攻击 知己知彼,百战不殆。掌握攻击者的套路才好顶得住攻击。可能我的读者多少了解过Nginx,我先给不了解的同学简单说一下原理。已经了解的跳到第二节。3分钟了解NginxNginx是一...
违规论坛已关闭,担心FBI已获取网站数据
在违规论坛剩下的管理员 Baphomet 透露他们认为执法部门可以访问该网站的服务器后,臭名昭著的 Breached 黑客论坛已经关闭。Breached 是一个流行的黑客和数据泄露论坛,因托管、泄露和...
115