直接调用fscan和kscan利用云函数不固定IP且封禁困难的特点进行扫描,有能力还可以缝合其他工具。 https://github.com/adeljck/scf_scanner_server 原文...
12月22日53 views评论ip
白名单
云函数漏洞扫描器
12月22日53 views评论ip
白名单
12月22日53 views评论ip
白名单
利用微步社区做天然白名单且免杀的远控C2(支持手机电脑)
免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
12月21日45 views评论csrf
白名单
(在野0day)某友CRM系统某接口存在任意文件读取(大量资产存在)
阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由...
12月18日133 views评论0day
任意文件读取
ShellPhish:多种社交媒体的网络钓鱼工具
ShellPhish介绍 ShellPhish是一个可定制的网络钓鱼工具,基于SocialFish。 支持以下社交平台: Instagram Facebook Twitter Snapchat Git...
12月18日26 views评论白名单
社交
存在后台管理系统里的多个越权
No.0 前言 漏洞基本上已修复 No.1 越权1 发现方式 点击进入后台,创建一个店铺,点击进入店铺 登录后打开https://ge.******.com.cn/blackList/list(共用一...
12月16日44 views评论白名单
黑名单
100条安全原则来制定安全策略
100条安全原则来制定安全策略最小化原则,网络最小化,权限最小化,能看到的资源最小化,应用最小化等等隐藏原则,一切都对黑客隐藏就可以了;二次验证,还要经常改密码;打补丁,重大的要立刻打,不然一天内就被...
12月15日28 views评论安全策略
白名单
【nday】某个oa账号接口密码泄露
因为今天看见别人发了一个,然后我也想起来前段时间看的一个账号密码泄露的漏洞。以下均来自互联网。(注:本文章为技术分享,禁止任何非授权攻击行为)poc/defaultroot/evoInterfaceS...
12月12日58 views评论ip
servlet
web目录扫描器专业版
dirpro 简介 dirpro 是一款由 python 编写的目录扫描器,操作简单,功能强大,高度自动化。 自动根据返回状态码和返回长度,对扫描结果进行二次整理和判断,准确性非常高。 已实现功能 可...
12月12日38 views评论专业版
白名单
【漏洞复现】JieLink+智能终端操作平台存在通用弱口令
声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文...
12月11日241 views评论弱口令
漏洞复现
微隔离环境bypass(rasp)
流量检测对于检测流量的,我们可以在rememberme里添加非base64字符如$,!这些进行绕过。原理:org.apache.shiro.codec.Base64;里面的解码有去除垃圾字符的作用(这...
12月10日57 views评论bypass
内存马
对某塔的一次随缘
微信公众号:[白昼信安]弱小和无知不是生存的障碍,傲慢才是![如果你觉得文章你有帮助,欢迎点赞]目录引言某塔资产收集漏洞一:白名单绕过信息泄露漏洞二: SSRF漏洞漏洞三: 百万级别商业数据泄露和人员...
12月10日39 views评论heap
白名单
关于软件正版化技术手段的讨论 | 总第220周
0x1本周话题话题:请教个问题,软件正版化这块有什么好的技术手段吗,如何排查哪些软件是违规的,不能用于商业用途?典型的比如之前免费的fiddler。A1:fiddler现在都在群发律师函,也担...
12月06日65 views评论白名单
黑名单
27