HTML 上下文——简单的标签注入当输入位于 HTML 标记或外部标记的属性值内时使用。<svg onload=alert(1)> "><svg onload=alert(1)...
重生之网安小FW,每天蹲一手大佬的漏洞利用分析
前言事情是这样的,最近和认识的师傅那边拿到了一堆系统源码,打算审计看看,情况好的话挖个0 day交平台换奖励,运气差的话实在挖不出就往各大网安社区投稿代码审计历史漏洞文章,学漏洞和赚钱两不误。然后挑系...
微软Outlook路径遍历漏洞允许攻击者远程执行任意代码
微软Outlook电子邮件客户端中存在一个重大安全漏洞,可能允许攻击者远程执行任意代码,即使需要本地访问权限才能触发漏洞利用。该漏洞编号为CVE-2025-47176,于2025年6月10日披露,被微...
PowerShell:黑客后渗透中的利器与防御策略
嘿大家!如果您参与过红队测试、渗透测试,或者只是喜欢探索网络安全的进攻端,那么您的工具包里可能装满了 Metasploit、Cobalt Strike 等常用工具,或者一些自定义的 Python 脚本...
MS12-020漏洞利用及复现
1.1MS12-020简介MS12-020 漏洞是微软在2012年发布的一个安全更新所修复的漏洞,它涉及到Windows操作系统的远程桌面协议(RDP)。该漏洞编号为CVE-2012-0003,属于远...
网安原创文章推荐【2025/6/8】
2025-06-08 微信公众号精选安全技术文章总览洞见网安 2025-06-08 0x1 【取证】第二届帕鲁"Parloo"杯-应急响应之主线智佳网络安全 2025-06-08 21:38:59 本...
Roundcube Mail后台代码执行漏洞复现(CVE-2025-49113)及POC
免责声明:本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法...
Vite漏洞利用指南(文末附工具)
漏洞利用方法汇总1. CVE-2025-30208 (尾部分隔符绕过)影响版本: < 6.2.3, < 6.1.2, < 6.0.12, < 5.4.15, < 4.5....
电商网站 SSTI 漏洞利用:专业攻略
步骤 1:初步探索和帐户创建 为了开始评估,我在网站上创建了一个帐户,并导航到个人信息部分。此部分有多个输入字段,包括称谓、名字、姓氏、出生日期和电子邮件地址。我主要关注的是姓氏字段,因为它似乎接受了...
APP渗透测试实战全攻略:15个技巧助你斩获高额漏洞赏金
当前,APP安全已成为攻防对抗的核心战场。据国家计算机病毒应急处理中心统计,2024年金融类APP漏洞利用事件同比增长62%,其中高危漏洞80%源于渗透测试未覆盖的隐蔽风险点。本文基于真实渗透案例,总...
记一次使用AI大模型在实战渗透测试的案例
该模型对于其他模型,对网安人员的优势最近试用了无问ai模型一段时间,发现该模型对标于其他的ai大模型来说,更符合从事网安行业师傅们的需求。对于大部分模型来说,对用户所需求的漏洞利用情报基本上都是保持拒...
新的 Safari XSS 漏洞利用 JavaScript 错误处理来执行任意代码
Safari 中新增的跨站点脚本 (XSS) 漏洞,可利用浏览器的 TypeError 异常处理机制来执行任意 JavaScript 代码。该漏洞是在 Gareth Heyes 研究有效负载隐藏技术期...