Hosts_scan 这是一个用于IP和域名碰撞匹配访问的小工具,旨意用来匹配出渗透过程中需要绑定hosts才能访问的弱主机或内部系统。 IP_hosts_scan_multithreading.py...
新型浏览器文件压缩包可滥用 ZIP 域名传播恶意软件
据BleepingComputer 5月28日消息,一种新型"浏览器文件压缩包 "钓鱼工具被试验出可滥用ZIP域名,在浏览器中显示虚假的WinRAR或Windows文件资源管理器窗口,以诱导用户启动恶...
黑产相关信息挖掘初探学习笔记
0x01. 黑产业检测研究介绍黑产业介绍常见分类:金融欺诈(如:电信诈骗)贩卖服务,贩卖工具(如:为犯罪集团提供服务和工具开发等)非法交易(如:非开源数据、违禁品等)特点:规模庞大,影响恶劣,行踪隐蔽...
常用的SSRF漏洞利用方式和原理
SSRF的原理: SSRF (Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问...
记一次打穿云上内网的攻防实战
本文首发于火线安全社区,原文地址https://zone.huoxian.cn/d/2766申明:本文仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一...
一款基于Python-Django的多功能Web安全渗透测试工具,包含漏洞扫描,端口扫描,指纹识别,目录扫描,旁站扫描,域名扫描
🌱项目介绍 系统简介 本项目命名为Sec-Tools,是一款基于 Python-Django 的多功能 Web 应用渗透测试系统,包含漏洞检测、目录识别、端口扫描、指纹识别、域名探测、旁站探测、信息泄...
在资产梳理过程中,如何通过证书有效地排除干扰
▌背景痛点FOFA工程师一个主要的业务场景就是做攻击面梳理,又叫暴露面管理。核心的要求就是尽可能全面,并且尽可能准确。一个行之有效的方式是通过cert.is_valid语法来做组合查询,快速验证资产的...
cdnfly 5.1.13版本存在高危安全漏洞
本帖最后由 radiogaga 于 2023-5-21 09:27 编辑 前两天我的公益cdn被黑了,我发现并不是密码被破解,昨天请教一个大佬才知道是cdnfly 5.1.13的API漏洞(官方早已修...
干货 | 针对性资产信息收集方法及工具
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!在开始做渗透的时候,也许你经常会听到别人说信息收集是渗透是否成功的关键。信息收集收集真的有这样重要吗?这是当然的。在甲方呆了一段时间,发现对于...
响尾蛇 APT 组织持续攻击我国和巴基斯坦实体组织
关键词网络攻击The Hacker News 网站披露,网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于我国和巴基斯坦境内的实体组织。APT 组织 SideWin...
TLD与常见文件后缀重复引发的安全问题
01背景近日,谷歌推出了一批新的顶级域(TLD),其中包括.zip和.mov,意味着个人用户可以注册.zip和.mov的顶级域名,很多安全人员对这一举动提出了担忧,认为此举会引入安全隐患。其中讨论最多...
【APT 组织·响尾蛇】持续攻击我国和巴基斯坦
The Hacker News 网站披露,网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于我国和巴基斯坦境内的实体组织。APT 组织 SideWinder 至少从...
55