🧠 FastJSON 静态代码分析规则大全🎯 在审计时如何快速定位关键位置,可以使用下面的正则来查询,适用于 Java 代码安全审计场景,辅助你快速检测✅ 1:检测是否显式开启 AutoType🎯 正...
【分享】供应商响应文件信息一致分析工具
最近,一直在做一些采购审计相关的工作,除了用朋友支援的大模型工具外,自己也动手写了一个供应商响应文件信息一致分析,用来做供应商文件的作者和编辑者一致性的筛查。自己用的还不错,就封装一下,给各位同仁免费...
JPlag:开源的代码抄袭检测工具
咱搞网络安全这行的,平时工作里事儿可不少。就拿我最近参与的hvv行动来说吧,要对大量的代码和文本进行检查,看看有没有抄袭或者重复的情况。因为这直接关系到我们所保护系统的安全性和可靠性,要是有代码被抄袭...
【工具分享】DD-security-tool应急响应工具
工具介绍 0x01 工具介绍 DD安全助手是一款集成多种安全功能的工具箱,支持网络排查、主机信息收集、安全日志查询、IP类处理、文件内容搜索等相关操作。下载方式见文末。 工具使用 ⌨网络排查:通过点...
Burp Suite XSS漏洞检测插件
工具介绍 XSS-Detector是一款面向Burp Suite的扩展插件,专注于检测Web应用中的跨站脚本(XSS)漏洞。本插件采用多线程并发设计,通过精确的请求-响应-漏洞映射关系,...
实战中内网穿透的30种打法!
在攻防对抗中,内网穿透是突破网络边界的关键技术。本文从攻击者视角系统梳理30种实战穿透手法,涵盖协议滥用、云原生穿透、IoT设备渗透等新兴攻击面,并给出企业级防御方案。一、协议隧道技术(8种)1. S...
记一次突破xx公有云白名单限制获取资产
一、前言起因起因是xx客户攻防演练,小伙伴们打了两三天了说是资产都发现不了,没有任何突破,让帮忙看看。由于客户信息敏感,信息均已打码。 二、场景分析首先利用资产测绘平台(fofa、quake、hunt...
【代码审计】某系统存在鉴权绕过与文件上传漏洞
一、前言前段时间,朋友发了一套代码让我帮忙进行审计。在审计过程中,我发现了一些漏洞,这些漏洞的难度都不高,但还是值得分享一下审计的思路和过程。二、漏洞审计出于安全方面的考虑,我已经将代码中的变量名和方...
HW开始前会做哪些措施:AI在攻防中扮演了怎样的角色
话题抢先看 1. HW开始前通常提前会做哪些措施? 2. HW中防守方有哪些反制攻击队的能力,例如可以部署高交互蜜罐,其他还有哪些实战中有效的打法,分享一下 3. 在面对常态化HW需求的时候如何持续保...
菠菜渗透小记
最近在逛公众号的时候 总看到有的朋友把注入的截图往上一摆,然后后台也不知去向,就草草的结束了,我今天想写这篇文就想表达其实及时找到了后台也没有办法(因为这套模板的注入是无法注入出谷歌验证码密钥的),一...
幽灵插件肆虐暴露浏览器安全隐患,专家:两招可破解
近日,奇安信威胁情报中心发现了一个规模巨大并且能够劫持受害者Google搜索内容和劫持电商链接等恶意行为的境外黑客团伙。受害者在使用浏览器时会感染一个名为“幽灵插件”的恶意扩展程序,中招后访问电商网站...
ProxyCat-V1.9.4 更加强大的代理池
兄弟们今天聊个实战利器!上个月护网行动被甲方爸爸追着要攻击路径隐蔽方案那会儿,我差点把键盘砸了——你们懂那种十几个代理池来回切还要防着被设备识别的心累么?直到最近搞红蓝对抗预演时挖到个叫ProxyCa...