01 什么是SSRF?SSRF(Server-side Request Forge, 服务端请求伪造)是由攻击者构造形成由服务端发起请求的安全漏洞。一般 情况下,SSRF攻击的目标是从外网无...
子域名发掘二三事
在日常渗透测试和src漏洞挖掘当中,明确了目标范围之后,对于有用信息的搜集一般是首先要做的工作。而对于子域名的挖掘往往是相当重要的一步,因为这在相当一定程度上决定了给定的测试范围当中攻击面的大小,所以...
java安全(六)java反序列化2
“ java反序列化2,ysoserial调试:URLDNS”个人博客地址:https://blog.csdn.net/weixin_45694388?spm={%22spm%22:%221011.2...
【技术分享】Phar与Stream Wrapper造成PHP RCE的深入挖掘
今年的HITCON打完了,沉迷写前端搞Nextjs骚操作的我成功爆0(雾),不想写前端了.jpg。先跑个题。HITCON 2016上,orange 出了一道PHP反序列化。HITCON 2017上,o...
技术干货 | SRC挖掘思路(二)
文章来自" bgbing星球",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站...
JavaScript审计
前言 Javascript (.js) 文件一般存储的是客户端代码,Javascript 文件可帮助网站执行某些功能,例如监视单击某个按钮的时间,或者当用户将鼠标移到图像上,甚至代表用户发出请求(例如...
gitlab漏洞系列-Analytics泄露
gitlab漏洞系列-Analytics泄露声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任...
了解AWVS的漏洞贪心设计,一个默认静态页竟然扫了3000+HTTP请求!
Acunetix WVS是目前大众可见的,设计最好的Web漏洞扫描工具之一,有极高的分析价值。对于学习Web安全的同学,可以通过它来认识常见Web漏洞,其内置了超过500个扫描插件,覆盖了你见过、以及...
【神兵利器】红队内外网打点工具
开源、轻量、快速、跨平台 的红队外网打点扫描器,仅供于安全研究。注意的点漏洞扫描的时候有时候最后几个任务会卡住,是因为ftp爆破模块,这个fscan也一样目前没有好的解决办法,后续更新.先阶段可以-e...
Burp Extender Apis 插件开发 (五)
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必...
Webpack系列-几个常见的loader
url-loader yarn add url-loader使用url-loader会帮我们把图片变成base64的字符串; 优点: dist---> 少了 .jpg 图片文...
OWASP移动审计 - Android APK 恶意软件分析应用程序
MobileAudit - 针对 Android 移动 APK 的 SAST 和恶意软件分析 M...
49