人生在世只有一次,不必勉强选择自己不喜欢的路,随性而生或随性而死都没关系,不过无论选择哪条路,都不要忘记自己的初心。1.不安全的url跳转实战首先点击页面上的链接,观察url直接修改url为https...
信息搜集 || 子域名爆破的泛解析问题
1 什么是泛解析?在子域名解析中,每个子域名都会解析为一个特定的IP地址。只有被设置解析,用户才能正常进行访问。一旦用户输入错误的子域名,就会造成无法访问。在网站运营中,域名持有者为了避免因为错误输入...
Hvv常见Web面试题
主要的Web漏洞 SQL注入原理:网站数据过滤不严格,过分信赖用户输入的数据, 没有过滤用户输入的恶意数据,无条件的把用户输入的数据当作SQL语句执行,因此导致sql注入漏洞产生SQL注入分类 以有无...
开源LLM工具准备嗅探 Python 零日漏洞
西雅图 Protect AI 的研究人员计划发布一款免费的开源工具,该工具可以在 Anthropic 的 Claude AI 模型的帮助下查找 Python 代码库中的零日漏洞。这款名为 Vulnhu...
CRLF 漏洞的演变:为何它在今天显得小众
一、CRLF注入概述1.1 什么是CRLFCRLF漏洞(Carriage Return Line Feed Injection,回车换行注入)是一种网络安全漏洞,主要出现在Web应用程序中。攻击者利用...
go_ssti风险
简介这篇文章中,主要讲解Go场景下SSTI风险环境记录详见下文具体代码从SSTI开始SSTI(Server-Side Template Injection,服务端模板注入)是一种Web应用漏洞,发生在...
后渗透系列 Windows10\11 中文用户输入痕迹信息
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把SecretTeam安全团队“设为星标”,否则可能就看不到了啦!免责声明"本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的...
【收藏】Claude注册使用指南:稳定不封的方法
今天来讲讲Claude,相信即使没用过Claude,也都听说过了吧?用它来辅助写代码或者搞新媒体爆文写作,效率真的翻倍不止!体验下来,它在代码、中文自然语言理解等各方面完全碾压GPT-4o!但Clau...
用ghidra中的列表修补程序中的bug
有了完整的多架构反编译器,很容易理解为什么我的许多学生会直接跳过列表视图,使用反编译器插件。反编译器中的类 C 代码对大多数人来说比列表视图中更神秘的汇编指令更加熟悉。然而,一名强大的逆向工程师必须在...
self-XSS漏洞SRC挖掘
本文由掌控安全学院 - 一朵花花酱 投稿 Markdown是一种轻量级标记语言,创始人为约翰·格鲁伯(John Gruber)。它允许人们使用易读易写的纯文本格式编写文档,然后转换成有效的 XHTML...
向ChatGPT植入恶意长期记忆,持续窃取用户输入数据
研究员发现,只需诱导目标用户操作ChatGPT访问特定文档或网页,即可利用间接提示注入向“记忆”功能植入恶意内容;更进一步,通过更复杂的定制内容网页,研究员还可让ChatGPT后续将所有输入和输出数据...
花钱买的开箱即用shell脚本合集分享
昨天从网上看到有些文章发布的开箱即用shell脚本合集,很是欣赏,结果又是扫描又是客服的,感觉像是要被诈骗一样的~我想要他的脚本,而他想给我引流挣钱……说好的共享精神呢。。。于是我从某宝买了来,分享给...
12