前言相信很多前端的小伙伴都有一个这样的想法:自己写了个前端项目,本地玩腻了,想着配个服务器,然后把自己的项目发布到服务器上,搭建一个属于自己的网站。没错,我很早就有了这样一个想法,但苦于知识量匮乏,很...
04月11日41 views评论ip
服务器
手把手教你搭建网站
04月11日41 views评论ip
服务器
04月11日41 views评论ip
服务器
【神兵利器】XSS漏洞扫描利用工具 -- toxssin
0x01 工具介绍 toxssin 是一种开源渗透测试工具,可自动执行跨站脚本 (XSS) 漏洞利用过程。它由一个 https 服务器组成,它充当为该工具 (toxin.js) 提供动力的恶意 Jav...
04月06日79 views评论xss
服务器
CloudPanel安装使用相同的SSL证书私钥
自托管 Web 管理解决方案 CloudPanel 被发现存在多个安全问题,包括在所有安装中使用相同的 SSL 证书私钥以及无意中覆盖防火墙规则以默认为较弱的设置。这些漏洞是 Rapid7 研究员 T...
03月24日52 views评论证书
防火墙
Burp+Proxifier解决小程序抓包客户端TLS无法协商问题
在测试小程序的时候抓包出现了the client failed to negotitate a TLS connection,客户端TLS无法协商问题。官方回答大致是,若你拥有三个浏览器就把...
03月20日386 views评论burp
tls
自学RedTeam之安全的C2设施
前言最近在学习研究RedTeam方面的相关知识,第一步是做一个安全的C2设施,基本原理就是通过制作自制的store证书消除特征、修改teamserver为本机连接防止被蓝队发现C2服务器、反向代理设置...
03月18日72 views评论c
证书
移动安全入门之常见抓包问题二
证书绑定概述证书绑定即客户端在收到服务器的证书后,对该证书进行强校验,验证该证书是不是客户端承认的证书,如果不是,则直接断开连接。浏览器其实已经这样做了,但是如“前面”所说,选择权交给了用户,且浏览器...
03月17日55 views评论服务器
证书
奇技淫巧 | 通过证书透明度发现域名的关联性
开卷有益 · 不求甚解前言 许多现代网站采用自动颁发和更新 TLS 证书。对于企业,有 DigiCert 服务。对于其他所有人,有免费服务,例如 Let's Encrypt 和 ZeroSS...
03月13日29 views评论tls
证书
实战 | 记录下教育SRC几个证书站大学的挖掘
现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队“设为星标”,否则可能就看不到了啦!免责声明由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。L...
03月10日206 views评论fuzz
数据包
干货分享|安卓7.0以上安装证书
戟星安全实验室 忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等本文约771字,...
03月09日298 views评论adb
证书
从一个App到getshell的一次经历
前言在一次授权渗透测试中,得知测试目标是拿到权限或者关键用户数据。客户一开始只提供了一个安卓apk,在这种情况下,我们要怎么顺利完成测试呢?APP测试一开始只提供了安卓apk包,也就只能从这个App入...
03月04日53 views评论app
域名
mitmproxy从入门到放弃
mitmproxy 和我们常用的burp一样,是一款抓包工具。和其他抓包工具相比,不仅可以抓包 还可以对包进行2次过滤 并且伪装请求 与python 进行交互,相比fiddler 和burp更为灵活。...
02月17日206 views评论http
https
挖掘CNVD通用漏洞 | 重点在思路
前言在各大论坛有大量文章是从某次渗透测试项目中发现了某个漏洞点,然后再从网络搜索引擎中去找类似漏洞,从而获取CNVD通用漏洞,得到证书的。此类是从渗透测试转到了漏洞挖掘,不是每个人都有那么幸运,也不是...
02月16日78 views评论sql注入
漏洞
24