声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系刘一手请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
【资料】开源情报方法和工具
昨天给大家推送了迈克尔·巴泽尔(Michael Bazzell)的【资料】开源情报技术(第九版),今天接着给大家推送另外两位开源情报大咖尼哈德·哈桑与拉米·希贾兹的《开源情报方法和工具》。感谢Anon...
edusrc用户数据分析--浏览器脚本
从去年到今年,edusrc数据分析已经提供服务一年有余(https://data.shikangsi.com),近日正式推出浏览器脚本,使用浏览器脚本可直接计算用户数据,无需访问网站。安装地址:htt...
JAVA代码审计录屏分享
昨晚的录屏已经首发哔哩哔哩。视频中的靶场资料请关注本公众号,回复 代码审计 即可获取视频地址:https://www.bilibili.com/video/BV1TY4y1t7q1/ 原文...
CVE-2022-30525 Nuclei批量检测规则
CVE-2022-30525: Zyxel 防火墙远程命令注入漏洞地址:https://github.com/badboycxcc/script/blob/main/zyxel.yaml 原文始发于微...
nginx配置ssl加密(单双向认证、部分https)
nginx配置ssl加密(单双向认证、部分https) 2016-02-25 #nginx #ssl加密 #ssl nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书...
运营商劫持造成的风险案例
山东移动在使用3/4G的时候,会在网页中插入一段js,然后在网页右下角显示一个流量球,显示你当前剩余流量,点击流量球还可以办理业务。 但是在使用jsonp查询的时候没有进行有效的安全校验,导致用户在使...
https原理和请求伪造
https握手过程 (1). 客户端向服务器发起ClientHello请求.发送的消息内容包括 支持的协议版本,比如TLS 1.0版 一个客户端生成的随机数,稍后用于生成”对话密钥” 支持的加密方法,...
CVE-2022-29266 Apache Apisix jwt-auth插件密钥泄漏
漏洞描述在2.13.1版本之前的APache APISIX中,攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lu...
远控免杀专题文章(4)-Evasion模块免杀(VT免杀率12/71)
本专题文章导航1、远控免杀专题文章(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg2、远控免杀专题文章(2)-msfvenom隐藏的参...
Java安全之SnakeYaml反序列化分析
点击蓝字 / 关注我们0x00 SnakeYaml简介snakeyaml包主要用来解析yaml格式的内容,yaml语言比普通的xml与properties等配置文件的可读性更高,像...
慢雾:Fortress Protocol 被黑分析
By:Dig2@慢雾安全团队5 月 9 日上午,由于恶意攻击,Fortress Protocol 中的资金被盗。此次 Fortress Protocol 遭受攻击的根本原因在于治理...
197