渗透测试 (pentesting) 是识别和解决系统、网络和应用程序中的漏洞的关键过程。随着组织越来越依赖数字基础设施,确保强大的安全性变得至关重要。此渗透测试备忘单旨在作为初学者和经验丰富的...
01月11日30 views评论nmap
渗透测试
渗透测试速查表
01月11日30 views评论nmap
渗透测试
01月11日30 views评论nmap
渗透测试
使用 Recursive Dirbusting 发现隐藏的 Web 路径
图片由 Storyset 在 Freepik 上发布 Web 应用程序通常包含可能暴露敏感信息的隐藏目录和文件。递归 dirbusting 是渗透测试中使用的一种强大技术,用于系统地发现这些路径。在本...
01月08日16 views评论example
视频教程
绕过电子邮件确认实现预账户接管
关注公众号,阅读优质好文。正文我测试的应用程序有多个子域名:1、account.example.com:处理用户账户管理。2、project.example.com:管理用户拥有或被邀请的项目。3、o...
01月06日10 views评论漏洞挖掘
电子邮件
【$$$$】从信息收集到攻破Okta
在一次HackerOne计划中,我发现了一个漏洞,这使我能够查看超过1万名拥有Okta账户的员工的个人身份信息(PII)。 信息收集 由于保密原因,我无法透露该计划的具体名称,我们姑且将...
12月23日21 views评论curl
信息收集
IDOR的高阶技巧
IDOR的高阶技巧正文前面写过的有:https://t.zsxq.com/OLD2Ihttps://t.zsxq.com/8Hqafhttps://t.zsxq.com/TioRk今天分享的和后端有些...
12月22日安全文章11 views评论example
profile
Web资产存活快速验证工具
一、工具概述 在日常工作的渗透测试过程中,经常会碰到渗透测试项目,而Web渗透测试通常是渗透项目的重点或者切入口 通常拿到正规项目授权后,会给你一个IP资产列表和对应的Web资产地址,这时候就需要我们...
12月22日25 views评论example
验证工具
漏洞挖掘 | Swagger UI 目录枚举小总结
通过 Swagger UI 目录枚举挖掘漏洞 前言 Swagger UI 被广泛用于可视化和交互式操作 API,但开发人员经常错误配置它,或无意间暴露了敏感的端点。通过掌握 Swagge...
12月19日14 views评论example
漏洞挖掘
剖析HTTP Host 标头攻击
点击蓝字关注我们始于理论,源于实践,终于实战老付话安全,每天一点点激情永无限,进步看得见严正声明本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...
12月17日15 views评论example
forwarded
DNS隐蔽通道构建指南:打造不可察觉的C&C通信
引言在红队渗透测试中,我们经常遇到常规C&C通信被封锁的情况。本文将介绍如何利用DNS协议构建一个隐蔽的命令控制通道,巧妙绕过防火墙和EDR的检测。这种方法虽然传输速度较慢,但在特殊环境下往往...
12月17日22 views评论example
hostname
海外的bug-hunters,不一样的403bypass
一种绕过403的新技术,跟大家分享一下。研究HTTP协议已经有一段时间了。发现HTTP协议的1.0版本可以绕过403。于是开始对lyncdiscover.microsoft.com域做F...
12月05日11 views评论bypass
fuzz
【翻译】CORS - 错误配置和绕过
什么是 CORS?跨域资源共享 (CORS) 标准使服务器能够定义谁可以访问其资产以及允许从外部源使用哪些 HTTP 请求方法。同源策略要求请求资源的服务器和托管资源的服务器共享**相同的协议(例如)...
12月05日7 views评论example
origin
TCPing 实用小工具使用指南
TCPing 是一个非常实用的命令行小工具,它可以快速检查到目标主机的服务端口是否开放,以及测量从本地机器到目标服务的响应时间。本文将详细介绍 TCPing 的功能、安装方法及使用技巧,并与 Teln...
12月04日46 views评论example
可执行文件
24