一、起因 昨天收到上级通报,官方网站有暗链,通报截图如下:HTML里确实有暗链,定性中危。第一反应是某位员工又直接复制粘贴的某个网页,连暗链一起贴了过来,或者误引用某个互联网上的网页,而那个站点因为某...
内网环境-actuator漏洞排查与利用
扫码领资料获网安教程免费&进群本文由掌控...
Continuous Improvement
Continuous Improvement持续改进Risk analysis is performed to provide upper management with the details ne...
Risk Reporting and Documentation
Risk Reporting and Documentation风险报告和记录Risk reporting is a key task to perform at the conclusion of ...
网络安全工程师必知的WEB知识
作为一名网络安全工程师,尤其是WEB渗透测试工程师,必须掌握一些WEB相关的基础知识,下面重点从WEB服务架构、浏览器请求过程、服务器操作系统、WEB应用服务器、数据库系统、动态网站脚本语言、WEB前...
HTB-Sandworm
点击蓝字 关注我们免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...
攻击Google Bard-从实时注入到数据外泄
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。文章首发于个人博客:https://myb...
实战 | 任意密码重置+CRRF
本文由掌控安全学院 - 杜星翰 投稿 一、XSS漏洞 在商城的搜索处,输入标准语句的传参直接就可以弹窗 二、逻辑漏洞-用户枚举 在用户注册界面,点击发送验证码,然后用BURP发包 更改手机号传参,这里...
浅谈IP地址溯源方法
CVES实验室 “CVES实验室”(www.cves.io)由团队旗下SRC组与渗透组合并而成,专注于漏洞挖掘、渗透测试与情报分析等方向。近年来我们报...
【Web实战】某头部直辖市攻防演练纪实-如何不用0day打下n个点
扫 在某头部直辖市的攻防演练中,各家安全厂商投入了大量人力物力...而我方基本未做准备,只有小米加步枪,且看如何不用0day如何连下数城 前言 几个月前打了一场某头部直辖市的攻防演练,演练当时通知的很...
Redis 4.x 5.x 未授权访问 _
#############################免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提学习,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无...
红队攻防之隐匿真实IP
¤ 写在前面 ¤欢迎加入权说安全讨论群这里有一群热爱技术、善于思考的小伙伴从攻克技术难点出发挖掘网安行业发展趋势定期输出热点解读、技术分析等各式干货扫描添加客服为好友,邀您进群THE AUTHORS本...
5473