前言前面研发安全系列讲解——上线前安全测试 简单介绍了半自动化的测试工具,基于chrome做插件来做,这里我们详细介绍下如何开发一款自己的扫描插件,这里使用的wxt框架进行,开发比较方便,当然你也可以...
G.O.S.S.I.P 阅读推荐 2024-02-21 危险的VS Code插件
先看一则今天的新闻:Visual Studio Code应该是毫无疑问的宇宙最火IDE(EMacs用户不服来辩),但是在今天推荐的这篇名为UntrustIDE: Exploiting Weakness...
xray工具保姆级的安装与使用教程
前言 提示:工具需要合理使用,读者使用不当与本作者无关,以下案例仅供参考。xray是一款辅助评估的扫描工具,不带有攻击。且支持 Windows / macOS / Linux 多种操作系统,本文中主要...
保姆级火狐渗透版配置burp代理
这一期我们来进行利用Burp Suite进行抓包工作。 1.Bure Suite抓包原理 Burp Suite安全工具进行抓包工作主要需要以下步骤: 配置浏览器:首先,需要将Burp Suite与浏览...
AppScan使用教程
1.新建扫描:一般选择 常规扫描 2.选择扫描的平台:web或app3.扫描配置向导①配置URL和服务器 ②配置登录管理在...
漏洞原理 | CORS跨域学习篇
本文由掌控安全学院 - 帆先生 投稿 0x01:原理 1、 什么是CORS 全称跨域资源共享,用来绕过SOP(同源策略)来实现跨域访问的一种技术。 CORS漏洞利用CORS技术窃取用户敏感信息 2、 ...
CVE-2024-0939
免责申明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 北京百绰...
【漏洞挖掘】业务逻辑漏洞案例剖析
前言:小星在测试某次业务时,由于数据包中的参数被加密且存在sign,导致无法直接测试逻辑问题。经过尝试多种思路,小星最终成功完成了逻辑漏洞的测试。特此记录。1. 当尝试访问该业务链接时,提示无法获取到...
http-header安全字段总结
这是整理网络上的各处内容的总结,有官方文档、有常见经验。在本文中,我将讨论应在Web服务器上配置哪些重要的HTTP标头,以提高服务器安全性。你将了解每个标头的作用是什么,以及利用其错误配置可以实施哪些...
【漏洞预警】Google Chrome<121.0.6167.85 Web Audio 释放后使用漏洞CVE-2024-0807
漏洞描述:Google Chrome 是 Google 公司开发的网页浏览器,Web Audio 是用于在浏览器中进行音频处理和合成的 API,Google Chrome 121.0.6167.85 ...
Google 已修复被主动利用的 Chrome 零日漏洞
关键词漏洞修复在 Chrome 浏览器的新稳定版本中,Google 修复了三个影响 V8 引擎的安全漏洞,其中包括一个存在漏洞的零日漏洞 (CVE-2024-0519)。关于CVE-2024-0519...
【漏洞预警】Google Chrome 类型混淆漏洞CVE-2024-0519
漏洞描述:Google Chrome浏览器是一个由 Google(谷歌) 公司开发的网页浏览器。近日监测到Google发布安全公告,修复了Chrome中的一个类型混淆漏洞,Google Chrome ...
47