今天来分享下我是如何自动提取 swagger 中配置的 API 接口的,在此之前,先来了解下 swagger 是什么?下面是 chatgpt 的回答:总结起来就是一套方便开发人员设计、构建 API 的...
0115-2024年全球软件供应链安全法规汇总
特别关注 2024年全球软件供应链安全法规汇总 美国、以色列利用荷兰间谍向伊朗核设施投放Stuxnet病毒 乌克兰黑客对俄罗斯电信运营商实施数据擦除攻击 特别关注 2024年全球软...
靶场实战(13):OSCP备考之VulnHub GAARA
打靶思路资产发现主机发现服务发现漏洞发现(获取权限)80端口/HTTP服务组件漏洞URL漏洞22端口/SSH服务组件漏洞口令漏洞80端口/HTTP服务22端口/SSH服务提升权限gaara用户sudo...
使用subdomainsBrute进行域名及子域名信息收集
在当今数字化时代,互联网的快速发展带来了无数的子域名,这些子域名是构成一个网站的基本组成部分。对于网络管理员和安全专家来说,了解和掌握子域名信息搜集及工具使用技巧至关重要。子域名信息搜集是指通...
PDF上传导致的存储型XSS
声明:所分享内容是在国外黑客大佬的漏洞报告基础上加工整理,仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,作者不承担相应的后果.在测试Web应用程序时,发现存在...
12种常见的网络钓鱼
本图片由通义万相自动生成网络钓鱼是一种网络攻击,是指具有恶意动机的攻击者伪装欺骗人们并收集用户名或密码等敏感信息的一系列行为。由于网络钓鱼涉及心理操纵并依赖于人为失误(而不是硬件或软件漏洞),因此被认...
攻防演练|记一次对某职业学院的红队测试
免责声明 由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,...
hc中因为JS拿下整个云
前言首先给到一个资产是二维码,是一张sese图片里面带有约炮的app下载,扫码后得到如下结果得到如下结果https://www.target.com后进行访问主站注册成功后发现全是妹子(..........
漏洞扫描VS渗透测试
随着网络攻击变得越来越复杂,企业需要投资更强大的安全解决方案,例如漏洞评估 和渗透测试 ,以保护其数据、声誉和收入。漏洞扫描可识别网络系统内的已知漏洞、安全控制的缺乏以及常见的错误配置。渗透测试模拟攻...
服务隐藏与排查 | Windows 应急响应
0x00 简介攻击者通过创建服务进行权限维持过程中,常常会通过一些手段隐藏服务,本文主要演示通过配置访问控制策略来实现隐藏的方式以及排查方法的探索不包含通过修改内存中链表进行隐藏的方式0x01 创建服...
Python免杀shellcode篇-过360等大部分杀软
异或+反沙箱+请求状态码判断+数字签名 shellcode介绍: shellcode 是一段利用软件漏洞进行执行的机器码, 通常用汇编语言编写并被翻译为十六进制操作码, 因常被攻击者用于获取系统的命令...
对Akamai的XSS绕过
在本文中,我们将开始探索绕过WAF的复杂艺术。Akamai 阿卡迈是一家全球领先的云计算、安全和内容交付服务提供商。在某个接口发现参数 “returnUrl”,他的存在就像夜晚的灯塔一样闪闪发光。作为...
5576