声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay...
JScanner一款递归式网站路径检测工具
这款这款工具能够干什么? 探测网页源代码,发现js文件 探测js文件,发现路径 支持自定义状态码 支持多URL请求 支持目录的递减访问操作(更好的打出目录遍历漏洞) 支持深度查找 支持对标题与返回值长...
漏洞挖掘真实案例 记一次管理员密码重置
前言 漏洞详情 假设目标是 example.com。通过子域枚举获得子域名admin.example.com。测试发现,访问子域时,会重定向到 https:...
Javascript中变量声明带来的Tags Broken
问题产生问题代码如下 12345678<html> <script> var example = 'Consider this string: <!-- <scri...
An example of network security problems in the IoT era
OthersThe article was first published in:https://www.anquanke.com/post/id/84774 - source:tonghuaroot...
解决前后端分离架构下的不同域的跨域请求问题
最近在尝试前后端分离的项目的学习开发,前端使用React,后端使用flask。前后端分离的项目中,基本前端后端都会各自启动一个服务,通过api接口调用的方式进行交互。发现一直存在CORS跨域的问题。C...
漏洞扫描工具 vulcat
0x01 工具介绍vulcat可用于扫描web端漏洞(框架、中间件、CMS等), 发现漏洞时会提示目标url和payload, 使用者可以根据提示对漏洞进行手工验证,使用者还可以自己编写POC, 并添...
何为Subdomain takeover子域名接管 - 我们该如何利用该漏洞?
漏洞介绍何为子域名接管?根据Hackerone官方文档介绍,子域接管的基本前提是指向当前未使用的特定服务的主机,攻击者可以通过在第三方服务上设置帐户来使用该主机在易受攻击的子域上提供内容。假设现在存...
xss的复兴:超过 100 万个网站存在敏感信息泄露风险
简介跨站脚本(又称 XSS)已经理所当然地占据了最受欢迎的网络漏洞之一的位置。自从它第一次出现在互联网的黑暗时代以来,无数漏洞在各个网站上被发现。因此,毫不奇怪,自 2004 年 OWASP TOP-...
破解邀请码实现未授权访问和账户接管
前言 ExampleSpark(化名)是一个专为团队管理和项目协作而设计的强大平台。它提供了用于管理用户、项目和权限的综合工具。 1、邀请用户 1.1、登录 ExampleSpark 上的管理员帐户。...
Dobby框架源码学习
Dobby框架推出的时间也不短了,从Github提交记录上看最早在17年就有提交了。这期间陆陆续续在使用Dobby框架,虽然对原理有大概的了解,但是还是没有从源码上入手分析,这次想完整的梳理下Dobb...
Nacos Derby Sql注入RCE(常规出网)
漏洞描述 Nacos derby存在远程代码执行漏洞,由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,从而远程加载恶意构造的j...
24