最近在磕项目管理,说来有点不好意思,我也算老项目经理了,20XX年就考过了PMP,但是我的项目管理水平很是一般,不管是从理论层面还是实践层面。不过从内心来说,我还是很想把这个项目管理的能力提高的,所以...
记某次通过API接口进行的渗透测试
0x01 概述 依旧是某天随手一测哈哈哈 0x02 正文 依旧是鹰图打天下,测绘走一走、活到九十九 突然我的bp插件爆红了,我就感觉有情况,估计要出货了 紧接着我复制域名去访问一下看看,发现直接跳SS...
Mongoose 搜索注入漏洞复现与修复
漏洞简介CVE-2024-53900 Mongoose 8.8.3、7.8.3 和 6.13.5 之前的版本容易受到 $where 运算符不当使用的影响。此漏洞源于 $where 子句能够在 Mong...
HTB-puppy
条件:levi.james / KingofAkron2025!扫描靶机nmap -A -v -T4 10.10.11.70一些常规的windows端口,得到了puppy.htb域名,写到hosts,...
EDUSRC | 两个证书站小程序漏洞挖掘思路及方法
本文由掌控安全学院 - 满心欢喜 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 一、信息收集思路及技巧 注:这一段信息收集思路及技巧是笔者...
DeFiVulnLabs靶场全系列详解(三十二)基于闪电贷的价格操纵漏洞
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由...
护网奇谈:蓝队工程师手记
零、护网实录|故事开始前,我们聊聊“被攻击”的真相有人说,网络安全是一场没有硝烟的战争。但对我们这些坐在 SOC 屏幕前、深夜还在翻 Zeek 流量、凌晨三点还在拼 Wireshark 滤包表达式的工...
XSS 跨站脚本攻击详解
原文链接:https://xie.infoq.cn/article/da6546b4db2d3df5eedbd6675XSS 的原理和分类跨站脚本攻击 XSS(Cross Site Scripting...
研究分享 | 大模型欺骗能力评测基准集 OpenDeception
研究背景随着大型语言模型(LLM)能力的提高和智能体(agent)的广泛应用,重大红线风险之一的欺骗性风险逐渐成为一个关键的安全问题。欺骗性风险可以简单理解为,LLM在完成目标的过程中表现出欺骗性,例...
linux 权限提升:进阶篇
01.tar命令注入:tar 一个系统内的安装包 基本和rar是一个概念。01.查找以root权限运行的计划程序cat /etc/crontab发现一个叫cron.daily/backup 以root...
方法走私的一个骚思路
假如服务器对于 OPTIONS 的请求过于‘宽容’,会有怎样的惊喜呢?今天让我们来看一个 HackerOne 上的案例。 首先,某网站的端点的请求抓包如下: POST /user/profile/ex...
CVE-2020-1472NetLogon权限提升
一、漏洞简介CVE-2020-1472,也被称为ZeroLogon,是一个严重的Windows域控远程权限提升漏洞。攻击者仅需访问到域控制器的135端口即可通过Netlogon远程协议连接至域控制器,...
7646