example - 第 7 | CN-SEC 中文网

安全文章

价值 3500 美元的漏洞

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。博客新域名：https://gugesay...

08月25日28 views评论

阅读全文

JScanner一款递归式网站路径检测工具

这款这款工具能够干什么？探测网页源代码，发现js文件探测js文件，发现路径支持自定义状态码支持多URL请求支持目录的递减访问操作（更好的打出目录遍历漏洞）支持深度查找支持对标题与返回值长...

08月23日安全工具34 views评论

阅读全文

安全文章

漏洞挖掘真实案例记一次管理员密码重置

前言‍‍‍‍‍‍‍‍ 漏洞详情‍‍‍‍‍ 假设目标是 example.com。通过子域枚举获得子域名admin.example.com。测试发现，访问子域时，会重定向到 https:...

08月19日37 views评论

阅读全文

安全文章

Javascript中变量声明带来的Tags Broken

问题产生问题代码如下 12345678<html> <script> var example = 'Consider this string: <!-- <scri...

08月18日12 views已关闭评论

阅读全文

An example of network security problems in the IoT era

OthersThe article was first published in:https://www.anquanke.com/post/id/84774 - source:tonghuaroot...

08月14日安全博客11 views评论

阅读全文

安全闲碎

解决前后端分离架构下的不同域的跨域请求问题

最近在尝试前后端分离的项目的学习开发，前端使用React，后端使用flask。前后端分离的项目中，基本前端后端都会各自启动一个服务，通过api接口调用的方式进行交互。发现一直存在CORS跨域的问题。C...

08月12日16 views评论

阅读全文

安全工具

漏洞扫描工具 vulcat

0x01 工具介绍vulcat可用于扫描web端漏洞(框架、中间件、CMS等), 发现漏洞时会提示目标url和payload, 使用者可以根据提示对漏洞进行手工验证，使用者还可以自己编写POC, 并添...

08月12日18 views评论

阅读全文

安全文章

何为Subdomain takeover子域名接管 - 我们该如何利用该漏洞？

漏洞介绍何为子域名接管？根据Hackerone官方文档介绍，子域接管的基本前提是指向当前未使用的特定服务的主机，攻击者可以通过在第三方服务上设置帐户来使用该主机在易受攻击的子域上提供内容。假设现在存...

08月12日37 views评论

阅读全文

安全新闻

xss的复兴：超过 100 万个网站存在敏感信息泄露风险

简介跨站脚本（又称 XSS）已经理所当然地占据了最受欢迎的网络漏洞之一的位置。自从它第一次出现在互联网的黑暗时代以来，无数漏洞在各个网站上被发现。因此，毫不奇怪，自 2004 年 OWASP TOP-...

07月30日75 views评论

阅读全文

安全文章

破解邀请码实现未授权访问和账户接管

前言 ExampleSpark（化名）是一个专为团队管理和项目协作而设计的强大平台。它提供了用于管理用户、项目和权限的综合工具。 1、邀请用户 1.1、登录 ExampleSpark 上的管理员帐户。...

07月29日21 views评论

阅读全文

安全开发

Dobby框架源码学习

Dobby框架推出的时间也不短了，从Github提交记录上看最早在17年就有提交了。这期间陆陆续续在使用Dobby框架，虽然对原理有大概的了解，但是还是没有从源码上入手分析，这次想完整的梳理下Dobb...

07月28日30 views评论

阅读全文

安全文章

Nacos Derby Sql注入RCE（常规出网）

漏洞描述 Nacos derby存在远程代码执行漏洞，由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问，恶意攻击者利用此漏洞可以未授权执行SQL语句，从而远程加载恶意构造的j...

07月18日230 views评论

阅读全文

价值 3500 美元的漏洞

JScanner一款递归式网站路径检测工具

漏洞挖掘真实案例记一次管理员密码重置

Javascript中变量声明带来的Tags Broken

An example of network security problems in the IoT era

解决前后端分离架构下的不同域的跨域请求问题

漏洞扫描工具 vulcat

何为Subdomain takeover子域名接管 - 我们该如何利用该漏洞？

xss的复兴：超过 100 万个网站存在敏感信息泄露风险

破解邀请码实现未授权访问和账户接管

Dobby框架源码学习

Nacos Derby Sql注入RCE（常规出网）

在线咨询

微信