免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系...
TLDHunt:一款功能强大的域名有效性检测工具
关于TLDHunt TLDHunt是一款功能强大的域名有效性检测工具,TLDHunt本质上是一个命令行工具,可以帮助广大研究人员在其线上项目或其他业务进行过程中快速识别可用的域名。通过提供关键字和TL...
TrackAssist - 批量快速溯源辅助脚本
前言 最近有一个任务,碰到的需求和以前做过的任务一样,主要是按客户要求做溯源反制,其中就得对外部的攻击IP进行分析(其实就是对发起真实攻击的ip进行筛选排查,看能否进行溯源和反制),然后输出报告。对于...
一文看懂误植域名的威胁和对策
你熟悉“误植域名”(typosquatting)这个术语吗?这是一种域名抢注,可能会损害你的品牌和声誉。我们在这篇博文中将探讨误植域名是什么、它与域名抢注的区别,并提供如何防止这种行为的要点。另外,我...
记一次对某企业的渗透测试
声明:本次演练中,所有测试设备均由主办方提供,所有流量均有留档可审计,所有操作均在授权下完成,所有数据在结束后均已安全销毁。 前言 某次攻防演练中,主办方只提供了目标企业名称,其他信息都需要自己收集,...
CCTV主站被做黑帽SEO
2023年6月16日晚上19点左右,访问CCTV域名: https://www.cctv.com/mmia/ 会跳转到博彩网站页面,如下图 通过分析请求,可以看到,通过js跳转到了博彩域名: 20点左...
python脚本--暴力破解二级域名
在渗透检测中,经常需要搜集目标网站的域名信息,比如搜集二级域名、三级域名,以及一些注册信息等等,今天我在...
信息收集的方法(一)
一.敏感信息文件 攻防测试中探测web目录和隐藏的敏感文件是很重要环境,从中可以获取很多敏感信息例如网站后台管理页面、文件上传界面、备份文件等。 1.通过工具扫描的方式 dirsearch,御剑,7k...
地级市HVV | 未授权访问合集渗透测试
在网站前后端分离盛行下,将大部分权限控制交给前端,导致js中隐藏未授权或者可绕过的前端鉴权。前后端分离的好处是提高开发效率,同时防止黑客更直接的对服务器造成危害,但权限控制的工作量全部交给前端会导致大...
猫鼠游戏对抗:一个隐蔽通信的演变-从域前置技术演变到PAAS重定向
前言的前言:本文转载自公众号:帮刀哥打广告,师傅们见谅,明天棉花糖会更新nessus最新插件前言红蓝对抗一直是一个不断演变和变化的领域,攻防双方都在不断地适应和进化自我。在立足于隐秘通信技术时,域前置...
社会工程学 | 利用.zip域名钓鱼攻击新型技术手法
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
利用.zip域名钓鱼攻击新型技术手法
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
54