在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则【评估依据】《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔201...
实战绕过阿里云WAF
原创文章渗透实现渗透技术原创声明:转载本文请标注出处和作者,望尊重作者劳动成果!感谢!前言:下面的漏洞挖掘案例,将会用到上篇提到的几个挖掘技巧。1、我发现目标站点是存在传参回显的,我在参数school...
OSCP难度靶机之VulnOS:2
虚拟机信息:虚拟机下载地址:https://www.vulnhub.com/entry/vulnos-2,147/虚拟机简介:你的任务是对公司网站进行渗透测试,获取系统的根目录并读取最终标志目标:1个...
漏洞报告模板 -Druid未授权访问漏洞
11.Druid未授权访问漏洞漏洞名称Druid未授权访问漏洞漏洞地址https://zhuanlan.zhihu.com/p/386709187漏洞等级中危漏洞描述Druid是阿里巴巴数据库事业部出...
实战|绝路逢生出0day—SYSTEM权限内网漫游
逻辑漏洞+编辑器0day=getshell+内网漫游又是一个深夜,记录前段时间测试的过程。唉,每次小有所学就要懈怠一会。全文高强度打码。0x00 一个登录框使用google hacking语法,翻了一...
极为方便的爬虫工具web scraper
概述在新型涉网案件中,登录涉案网站后台后通常需要分析其中的数据,如网站后台受害人信息和嫌疑人的资金流水,收支账号信息等。数据分析的前提是将页面的数据固定至本地,如果不会编写脚本的话只能人工一条数据一条...
Webpack系列-几个常见的loader
url-loader yarn add url-loader使用url-loader会帮我们把图片变成base64的字符串; 优点: dist---> 少了 .jpg 图片文...
漏洞报告模版 - 点击劫持(X-Frame-Options头丢失)漏洞
2.点击劫持(X-Frame-Options头丢失)漏洞漏洞名称点击劫持(X-Frame-Options头丢失)漏洞漏洞地址https://mirrors.tuna.tsinghua.edu.cn/漏...
红队第3篇:银行Java站SSRF组合洞打法造成的严重危害
Part1前言这篇文章源于之前做的某银行的红队评估项目,第一次打进去用了一个客服系统的0day漏洞,而且一直打到了银行的核心区。半年后项目续签,开始了第2轮红队评估项目,再想打进去就非常困难了。代码审...
关于我渗透Driftingblues-9靶机这档事
Download: Driftingblues-9 Found 总所周知,渗透渗透测试首先需要找到靶机的IP地址,实验环境中靶机与攻击机属于同一局域网,因此可以使用arpscan进行主机发现。 首先查...
钓鱼网页冒充微软极为逼真,难以检测
钓鱼攻击使用Azure静态web页面冒充微软,难以检测。Azure Static Web Apps是微软提供的一个服务,可以帮助用户从GitHub或Azure DevOps代码库构建和部署全栈web ...
网络钓鱼工具包市场分析
什么是网络钓鱼工具包?诈骗者在网络钓鱼攻击中使用的最常见技巧之一就是创建一个知名品牌的虚假官方页面。诈骗者倾向于从真实网站复制设计元素,这就是为什么用户很难区分虚假页面和官方页面的原因。甚至网络钓鱼页...
53