docs | CN-SEC 中文网

JumpServer堡垒机部署与运营

前言从应用安全，做成运维安全了，把最近做的东西总结一下。为啥需要堡垒机就不用多说了，服务器管理存在风险（多云导致服务器分散、账号混乱定位不明、权限粗放资源滥用、误操作、审计不严取证困难、等保合规要求...

06月10日安全闲碎22 views评论

阅读全文

安全新闻

黑客利用 Google Docs 和 Steam 传播 ACRStealer 信息窃取程序

根据 AhnLab 安全情报中心 (ASEC) 的研究，一种新型信息窃取恶意软件 ACRStealer 正在利用Google Docs和Steam等合法平台进行攻击。这种恶意软件最初于 2024 年中...

06月07日16 views评论

阅读全文

安全文章

浅析SpringBoot框架常见未授权访问漏洞

星标公众号可大图观看！前言在对 Java 站点进行渗透测试的过程中，经常会遇见各类未授权访问漏洞，本文来总结学习下常见的几类未授权访问漏洞的检测和利用方法。SpringBoot 站点的简单识别方法：1...

05月26日46 views评论

阅读全文

安全文章

快速发现与查看api-docs

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！如有侵权烦请告知，我会立即删除并致歉。谢谢！文章有疑问的，可以公众号发消息...

05月09日19 views评论

阅读全文

安全工具

工具集：OneScan【一款用于递归目录扫描的 BurpSuite 插件】

🐉工具介绍 OneScan是一款为了发现站点深层目录下的 Swagger-API 接口文档，后面随着功能的完善和使用姿势的增加，目前可以完成：发现隐藏接口、发现敏感信息泄漏、测试未授权、越权接口等测试...

04月02日46 views评论

阅读全文

安全工具

一款Swagger API漏洞利用工具Swagger API Exploit 1.2

0x01 工具介绍 Swagger API Exploit 是一款用于检测 Swagger REST API 安全漏洞的工具。它能自动扫描 API 接口，分析敏感参数，检测未授权访问和认证绕过漏洞。该...

04月02日51 views评论

阅读全文

安全文章

Swagger渗透和XSS通杀方式

swagger简介 Swagger是什么？ Swagger（现称OpenAPI）是一种开源的API描述语言，旨在简化RESTful API的设计、文档化、生成和消费。Swagger为API提供了一种标...

02月17日151 views评论

阅读全文

安全闲碎

快速部署MinDoc接口文档管理系统

MinDoc 简介MinDoc 是一款针对IT团队开发的简单好用的文档管理系统。MinDoc 的前身是 SmartWiki 文档系统。SmartWiki 是基于 PHP 框架 laravel 开发的一...

02月10日36 views评论

阅读全文

安全文章

意外发现谷歌Slides越权漏洞，获得赏金$3133.70的故事

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。背景介绍某一天悠闲的午后，白帽小哥Atik...

01月20日18 views评论

阅读全文

安全文章

Web3智能合约：预言机（Oracle）使用入门

Web3智能合约：预言机（Oracle）使用入门预言机（Oracle）在区块链上，链上数据是无法和链下（现实世界）数据做交互的，比如：在链上你无法获取美元汇率，但是在智能合约中，经常会遇到需要和现实世...

01月16日25 views评论

阅读全文

安全文章

Springboot heapdump泄露读取分析

1. Springboot信息泄露1.1 可能泄露路由列表/api-docs /v2/api-docs /swagger-ui.html /api.html /sw/swagger-ui.html /...

01月06日22 views评论

阅读全文

安全文章

赏金$3133的漏洞

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任背景介绍某一天悠闲的午后，白帽小哥Atikq...

01月03日16 views评论

阅读全文