0x01 漏洞原理SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操...
Apache Solr SSRF 复现
漏洞简介 漏洞主要是基于 Solr 的主从复制(Replication)时,可以传入任意URL,而 Solr 会针对此 URL 进行请求。 漏洞复现 环境搭建,下载符合存在漏洞的 Apache 漏洞版...
GET型SQL注入【四】——数字型和字符型
我们常说的判断数字型和字符型都是基于http://xxx.com/?id=1这种,这里可能存在我们常见的如:union注入,报错注入,盲注 0x01 为什么要判断 拿SQLI-LABS的 LESS1和...
CTFHUB-WEB前置技能-HTTP协议-302跳转
题目 点击give me flag,使用Brup Suite抓包。右键,send to Repeater 在repeater中点击Go,右侧就出现了flag ctfhub{6fb1eeefc0445f...
GitHub账户重命名可引发供应链攻击
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本...
点击劫持攻击-攻击示例(下)
在本节中,将解释什么是点击劫持,描述点击劫持攻击的常见示例,并讨论如何防范这些攻击。将点击劫持与DOM XSS攻击相结合到目前为止,我们已经将点击劫持视为一种独立的攻击。从历史上看,点击劫持已被用于执...
红队辅助扫描利器-支持log4j检测
一、工具介绍目前共能主要有:1、探活2、服务扫描(常规&非常规端口)3、poc探测(xray&nuclei格式)4、数据库等弱口令爆破5、内网常见漏洞利用6、常见组件及常见HTTP请求...
这是我见过最复杂的URL了
一、先来个简单点的urlhttps://https:⁄⁄www.netmeister.org@https://www.netmeister.org/https:⁄⁄www.netmeister.org...
Vaf Web fuzzer
vaf 是一个具有很多功能的跨平台网络模糊器。它的一些功能包括:快速穿线HTTP 标头模糊测试代理安装您可以使用此单线安装 vaf:curl https://raw.githubusercontent...
国外bounty tips(1)
当发现越权当访问缺出现401/403错误时,一些绕过1、用数组绕过{"id":111} -> {"id":[111]}2、JSON绕过{"id":111} ->...
SuperSpider——打造功能强大的爬虫利器 - 博客 - 腾讯安全应急响应中心
1.爬虫的介绍图1-1 爬虫(spider) 网络爬虫(web spider)是一个自动的通过网络抓取互联...
URLFinder 一款快速提取检测页面中JS与URL的工具
===================================免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负...
49