本文针对人群:很多朋友们接触安全都是通过书籍;网上流传的PDF;亦或是通过论坛里的文章,但可能经过了这样一段时间的学习,了解了一些常见漏洞的原理之后,对于漏洞挖掘还不是很清楚,甚至不明白如何下手......
读三体有感
原文始发于微信公众号(xsser的博客):读三体有感
记一次从文件备份泄露到主机上线
前言文件备份泄露代码审计配置文件+未授权访问默认账户密码储存型XSS文件上传未授权访问+数据查询+xp_cmdshell=RCExp_cmdshell上线查询免杀前言记录下某个测试项目中,通过一个文件...
使用宝塔一键部署XSS平台
前言不时有小伙伴找我帮忙搭建xss平台,这个需求还不少,抽空研究了下怎么快速搭建更方便,于是乎就有了这篇教程。一、下载XSS平台代码1.1、GitHub下载地址https://github.com/7...
XSS漏洞扫描器1.3k个payload自带绕waf
01前言此扫描器对反射XSS的扫描几乎是失效的(可能是因为这漏洞大家都看不起?)此程序有点年头了仅供学习使用(当然改一改还是能用)文末获取成品下载链接微信交流群满200人了需要加我好友拉进去哦(之前那...
无奖答题:根据代码中审查出如何窃取受害者Token
根据上一个题目:你能发现漏洞吗?您如何在源代中触发 XSS答案:jquery.query-object 容易受到原型污染。描述符对象没有定义 value 属性,因此我们可以污染 descriptor....
【$6580】GitLab最新披露的一处XSS漏洞
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍:最近GitLab在hackero...
漏洞赏金猎人系列-测试电商类相关功能步骤和Tips-II
漏洞赏金猎人系列-测试电商类相关功能步骤和Tips-II声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法...
XSSCon:一个简洁高效的XSS扫描工具
####################免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开...
分享几个在线安全小工具
今天给大家安利几个不错的在线安全工具,无需安装配置即可使用,在实际工作中能够帮助我们提升效率,顺序的话,就根据渗透的顺序来。0x01 HTTP 请求转换器可以将 curl、http、json 的请求,...
chrome关闭XSS-auditor
在对网站的XSS漏洞进行探测时常常会触发浏览器的安全策略导致被拦截,这次我们讲的XSS-auditor就是chrome的xss安全策略,正常使用的话可以拦截xss对我们的攻击,但是我们是想利用它,所以...
一个好玩的Web安全-突破测试平台——pikachu[皮卡丘]靶场的介绍与搭建
0x00 介绍 皮卡丘上的进攻类型列表如下: 突击部队XSS(跨站脚本进攻)CSRF(跨站请求伪造)SQL注入(SQL注入防御)RCE(远程命令/代码执行)文件包含(文件包含防御)不安全的文件下载(不...
112