一、前言警告:本文中提及的漏洞已提交给相关机构,并在修复后予以公开。未经授权,严禁进行任何形式的渗透测试!切记遵守法律,维护网络安全!二、信息收集经过对域名接口信息收集、子域名信息收集、CMS指纹识别...
如何使用Facad1ng隐藏真实的URL地址
关于Facad1ng Facad1ng是一款功能强大的URL地址隐藏工具,该工具完全开源,基于Python开发,可以帮助广大Web应用程序开发人员或安全研究人员通过隐藏应用程序的真实URL地址来提升应...
九维团队-绿队(改进)| I Doc View /html/2word 文件上传漏洞分析和缓解
01写在前边I Doc View在线文档预览是一款在线文档预览系统,可以实现文档的预览及文档协作编辑功能。其存在代码执行漏洞,使得攻击者可以通过利用这个接口,触发服务器下载并解析恶意文件,从而导致远程...
网站页面递归爬取工具 xcrawl3r
关于xcrawl3rxcrawl3r是一款功能强大的网站页面递归爬取CLI工具,该工具本质上是一个基于命令行接口实现的实用工具,可以帮助广大研究人员以递归的形式爬取目标站点的Web页面。值得一提的是,...
xcrawl3r:一款功能强大的网站页面递归爬取CLI工具
关于xcrawl3r xcrawl3r是一款功能强大的网站页面递归爬取CLI工具,该工具本质上是一个基于命令行接口实现的实用工具,可以帮助广大研究人员以递归的形式爬...
如何使用LinkFinder在JavaScript文件中查找网络节点
关于LinkFinder LinkFinder是一款功能强大的Python脚本,在该工具的帮助下,广大研究人员可以轻松在JavaScript文件中发现和扫描网络节点及其相关参数。这样一来,渗透测试人员...
AppInfoScanner
一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态WEB站点...
如何通过扫描二维码登陆他人账号
是从一朋友haoren那得来的思路,经指点,将此过程实现先说下微信登陆他人账号原理。1.浏览器从服务器获得特定二维码标识2.https://login.weixin.qq.com/qrcode/+获得...
一款适用于以HW行动/红队/渗透测试团队为场景的移动端信息收集扫描工具
声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,鹏组安全及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才...
文了解SSRF漏洞
文了解SSRF漏洞红客突击队于2019年由队长k龙牵头,联合国内多位顶尖高校研究生成立。其团队从成立至今多次参加国际网络安全竞赛并取得良好成绩,积累了丰富的竞赛经验。团队现有三十多位正式成员及若干预备...
Dr.Mine:一款支持自动检测浏览器内挖矿劫持的Node脚本
关于Dr.Mine Dr.Mine是一款功能强大的Node脚本,该脚本旨在帮助广大研究人员以自动化的形式检测浏览器内的挖矿(加密)劫持行为。检测浏览器中发生的事情,最准确方法是通过浏览器本身。因此...
Pikachu靶场-URL重定向
14.URL重定向1.不安全的url跳转不安全的url跳转不安全的url跳转问题可能发生在一切执行了url地址跳转的地方。如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址...