前言本篇文章将从 X-Forwarded-For 注入漏洞出发,结合XSS、Sqli、CSV注入等漏洞,挖掘其可能存在安全隐患的场景,从而更好地进行防御。01、原理服务端获取...
11月02日179 views评论payload
xss
九维团队-红队(突破)| XFF注入漏洞的进阶利用及防御
11月02日179 views评论payload
xss
11月02日179 views评论payload
xss
简单钓鱼文件制作——Word邮件与CSV注入
WORD邮件制作以Cobalt Strike 为例点击attacks-packages-ms office macro创建word宏病毒。首先选定监听端口,复制CS生成的代码image.pngimag...
09月03日40 views评论csv
excel
渗透技巧 | 关于csv文件在渗透中的妙用
何为csv逗号分隔值(Comma-Separated Values,CSV,有时也称为字符分隔值,因为分隔字符也可以不是逗号),其文件以纯文本形式存储表格数据(数字和文本)。纯文本意味着该文件是一个字...
08月28日44 views评论csv
控制面板
如何使用OSIPs快速批量验证IP地址的有效性
关于OSIPs OSIPs是一款功能强大的Python脚本,该工具可以从一个目录中读取全部的文本文件,并从这些文本文件中收集IP地址信息,然后通过查询Whois数据库、TOR中继...
07月03日35 views评论input
ip地址
Flawfinder开源C/C++静态扫描分析工具安装与使用
flawfinder的介绍Flawfinder是一款开源的关于C/C++静态扫描分析工具,其根据内部字典数据库进行静态搜索,匹配简单的缺陷与漏洞,flawfinder工具不需要编译C/C++代码,可以...
05月29日1,824 views评论test
字符串
几款好用的子域名收集工具
前言收集子域名的工具和方式有很多,但是有很多工具并不是很好用,我觉得在爆破子域名的时候有几个参数值是很重要的,一个就是工具收集子域名的途径是否齐全,再一个是是否会显示title信息以及子域名的响应状态...
05月15日58 views评论工具
文件
CodeQL进阶知识(Java)
笔者在阅读了CodeQL的官方文档,熟悉相关语法后,对CodeQL中的Java进行了一番简单的研究,本文分享这一过程的一些收获。规则的封装通过class我们可以封装一系列的谓词方法,这方便我们组织并编...
04月25日76 views评论java
name
Python-csvkit:强大的CSV文件命令行工具
来自公众号:Python大数据分析如果你在学Python数据处理,一定对CSV文件不陌生。日常本地数据存储中,除了Excel文件外,大部分数据都是以CSV文件格式保存的。CSV(Comma-Separ...
04月09日55 views评论python
数据库
金融企业网络安全应急响应之技术篇
上篇文章讲了网络安全应急响应的一些基础理论和常规套路,这篇主要就其中的技术部分进行阐述。一、工具包准备如果应急响应的对象是某台可能被攻陷的主机,那在登录上去之前需要先有一些工具事先准备好才行。因为目标...
01月22日70 views评论exe
linux
再见 for 循环!pandas 提速 315 倍~
来自公众号:Python数据科学本篇分享一个常用的加速骚操作。for是所有编程语言的基础语法,初学者为了快速实现功能,依懒性较强。但如果从运算时间性能上考虑可能不是特别好的选择。本次东哥介绍几个常见的...
06月16日62 views评论csv
未分类
[译]CSV 注入:被人低估的巨大风险
最近我在记录本地用户近期的电费时发现这个问题,有人叫我把它写出来。在某些方面上看来这是个旧新闻,但是从其他的角度看。嗯,我认为很少人意识到这个问题有有多强的破坏力,并且它能造成多大范围的损害。对于将用...
04月16日76 views评论应用
管理员
前微软工程师窃取千万美元:自己买车买房,同事做替罪羊
文章来源:FreeBuf2020年11月11日报道,26岁的Volodymyr Kvashuk是一名乌克兰公民,也是前微软工程师。在职两年期间,他以“货币储值”(CSV)的形式(包括礼品卡)从微软窃取...
11月14日118 views评论微软
窃取
6