iFrame注入是一种非常常见的跨站点脚本(或XSS)攻击。它由一个或多个iFrame标签组成,这些标签已插入页面或帖子的内容中,并且通常会下载可执行程序或执行其他危害网站访问者计算机的操作。在最佳情...
新的网络钓鱼攻击欺骗Microsoft 365身份验证系统
电子邮件安全和威胁检测服务提供商Vade公司近日发布了一份报告,详细阐述了最近发现的一起网络钓鱼攻击,这起攻击成功欺骗了Microsoft 365身份验证系统。 据Vade的威胁情报和响应中心(TIR...
新的网络钓鱼诈骗欺骗德国Anga媒体、宽带会议
Anga Com会议是欧洲领先的宽带、电视和在线商业平台,总部位于德国。然而,在最新的网络钓鱼诈骗中,骗子正在利用该平台窃取个人数据。在狡猾的网络欺骗展示中,黑客利用德国著名的Anga Com会议的声...
【漏洞扫描】全网首发:Invicti Enterprise On-Premises 17 Jan 2023 v23.1.0
全网首发:Invicti Enterprise On-Premises 17 Jan 2023 v23.1.0 更新日志 新功能 添加了扫描控制中心以暂停所有扫描,并在需要时暂停和恢复所有扫描。 添加...
界面劫持之拖放劫持分析
01 拖放劫持发展历程 在2010的Black Hat Europe大会上,Paul Stone提出了点击劫持的技术演进版本:拖放劫持。由于用户需要用鼠标拖放完成的操作越来越多(如复制粘贴、小游戏等等...
实战|记一次SSO绕过的漏洞挖掘
概括在 Hackerone AWC 2023 期间对雅虎资产进行侦察时,我发现了一个主机foo.bar.yahoo.com。我认为它一定是工程师的一些内部工具,列出的页面很少,但单击任何页面都会重定向...
Afuzz 一款适用于自动化Bug Bounty的敏文文件或路径发现工具
大家好,我是BaCde,过年期间开发了Afuzz这款工具。主要用于自动化Bug Bounty中的一部分,前段时间上传到了Github上。今天我就来给大家介绍一下它与其他同类工具的不同,并欢迎大家试用并...
SSTI模板注入到 RCE
0x00 前言 Bagisto版本:1.5.1 0x01 内容概览 看到页面功能,可以创建和自定义电子商务页面。 正如你在下图中看到的,有可能在页面上放置一段 HTML 代码,看着它,我立即想起了 X...
VulnHub靶机之earth
目录 一 信息收集1.nmap扫描2.敏感目录扫描3 查看网页源码二 威胁建模三 渗透测试1.查询用户信息2.查询用户特权3.suid提权总结 靶机10-earth攻略 一 信息收集 1.nmap扫描...
记一次SSO绕过的漏洞挖掘
概括 在 Hackerone AWC 2023 期间对雅虎资产进行侦察时,我发现了一个主机foo.bar.yahoo.com。 我认为它一定是工程师的一些内部工具,列出的页面很少,但单击任何页面都会重...
用户名密码加密的页面爆破学习
前言 目前越来越多的网站系统在登录接口、数据请求接口中加入各式各样的加密算法,甚至有些网站在每次请求前都动态请求加密密钥等措施,对接口渗透工作造成较大障碍,本文简单对登录接口暴力破解时字段被加密,如何...
XSS漏洞检测和利用 | 干货
XSS漏洞原理 XSS漏洞是一种跨站脚本攻击,攻击者通过构造恶意脚本传入服务器,并且被当成前端脚本执行了。 XSS分类 反射型XSS 反射型XSS是攻击者将恶意脚本注入到请求参数中,服务器将参数返回给...
52