标头 | CN-SEC 中文网

安全工具

一站式在线真实 IP 查询平台

前言虚拟主机发现工具是一种用于识别和列举在同一物理服务器或IP地址上运行的多个虚拟主机的工具。许多网站和应用程序可能在同一个服务器上托管多个虚拟主机，这些虚拟主机通常不会通过主域名直接暴露。通过发现...

08月19日38 views评论

阅读全文

安全文章

通过添加请求头绕过权限实现SSRF

背景介绍该项目为一个云银行平台，使银行提供商能够根据他们的描述快速创建、推出和服务贷款和存款产品。漏洞发现白帽小哥正在测试的子域有两个权限Admin&User，他们在这两个权限之中发现了...

07月18日23 views评论

阅读全文

安全文章

一则SSRF漏洞的故事

07月10日23 views评论

阅读全文

安全工具

一个好用的抓包神器--Proxyman

介绍Proxyman最初是一款高性能macOS应用程序，现在同时也支持在Windows、Linux、iOS等平台下使用，使安全、开发人员能够查看来自应用程序和域（包括iOS设备、iOS模拟器和Andr...

04月23日83 views评论

阅读全文

http-header安全字段总结

这是整理网络上的各处内容的总结，有官方文档、有常见经验。在本文中，我将讨论应在Web服务器上配置哪些重要的HTTP标头，以提高服务器安全性。你将了解每个标头的作用是什么，以及利用其错误配置可以实施哪些...

01月28日安全文章37 views评论

阅读全文

安全文章

PlugX 恶意软件分析

译者 | 知道创宇404实验室翻译组摘要 PlugX 是一种将高级功能与逃避检测技巧相结合的恶意软件，在网络安全领域产生了深远影响。PlugX 的发展演变与网络间谍活动、有针对性的攻击以及与安全专家...

12月26日161 views评论

阅读全文

安全文章

HTTP Request Smuggling（HTTP 请求走私）攻击及案例说明

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。文章首发于个人博客：https://myb...

09月12日71 views评论

阅读全文

安全文章

CVE-2023-34362：MOVEit 传输利用分析

2023 年 5月31 日，Progress 发布了有关其 MOVEit Transfer 和云软件 Web 应用程序中的关键 SQL 注入漏洞的安全公告。此漏洞可能允许攻击者获得管理访问权限、窃取数...

08月03日134 views评论

阅读全文

安全文章

『漏洞复现』请求走私漏洞

点击蓝字，关注我们日期：2023-07-12作者：yukong介绍：一次请求走私漏洞的学习与实践。 0x00 前言当前端服务器将HTTP 请求转发到后端服务器时，通常会通过同一个后端网络连接发送多...

07月12日82 views评论

阅读全文

安全文章

HTTP 自定义头中的 SQL 注入

HTTP 自定义头中的 SQL 注入前言本文主要分享的是在自定义 HTTP 标头请求中找到的关于 SQL 注入的发现。正文目标为:redacted.com,成功登录后，请求中还有一个 HTTP...

07月03日36 views评论

阅读全文

安全文章

发现跨站脚本包含 (XSSI) 和 JSONP 获得漏洞赏金

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。背景介绍：废话不多说，挖掘流程（一图胜千言...

06月27日39 views评论

阅读全文

安全百科

【基础漏洞】WEB缓存投毒

什么是 web 缓存什么是 web 缓存投毒和缓存有关的一些请求头挖掘过程漏洞复现寻找非缓存键构造恶意响应内容确认是否缓存成功漏洞危害修复建议参考链接什么是 web 缓存 Web 缓存（Web Ca...

06月26日243 views评论

阅读全文

一站式在线真实 IP 查询平台

通过添加请求头绕过权限实现SSRF

一则SSRF漏洞的故事

一个好用的抓包神器--Proxyman

http-header安全字段总结

PlugX 恶意软件分析

HTTP Request Smuggling（HTTP 请求走私）攻击及案例说明

CVE-2023-34362：MOVEit 传输利用分析

『漏洞复现』请求走私漏洞

HTTP 自定义头中的 SQL 注入

发现跨站脚本包含 (XSSI) 和 JSONP 获得漏洞赏金

【基础漏洞】WEB缓存投毒

在线咨询

微信