example - 第 8 | CN-SEC 中文网

安全文章

0day - NACOS RCE漏洞

Nacos 是 Alibaba 开源的一款用于微服务架构的注册中心和配置中心。它为开发人员提供了轻量级的服务发现和配置管理功能。影响范围nacos 2.3.2nacos 2.4.0其他...

07月17日40 views评论

阅读全文

安全漏洞

NACOS RCE 0day POC分析及复现

免责声明：请勿将本项目技术或代码应用在恶意软件制作、软件著作权/知识产权盗取或不当牟利等非法用途中。本项目提及的技术仅可用于私人学习测试等合法场景中，任何不当利用该技术所造成的刑事、民事责任均与本项目...

07月15日265 views评论

阅读全文

安全工具

敏感信息扫描工具推荐 SecretScraper

项目简介 SecretScraper是一个高度可配置的网页爬虫工具，从目标网站抓取链接，并通过正则表达式抓取敏感数据。使用说明 Python 版本 >= 3.9 特点网络爬虫：通过 DOM ...

07月15日60 views评论

阅读全文

安全工具

Python常见安全问题检查工具

工具简介 Bandit 是一款用于查找 Python 代码中常见安全问题的工具。为此，Bandit 会处理每个文件，从中构建 AST，并针对 AST 节点运行适当的插件。一旦 Bandit 扫描完所有...

07月14日146 views评论

阅读全文

安全工具

一款强大的安全评估工具-EZ

EZ 简介 EZ是一款集信息收集、端口扫描、服务暴破、URL爬虫、指纹识别、被动扫描为一体的跨平台漏洞扫描器，渗透测试中，可辅助发现常见的SQL注入、XSS、XXE、SSRF之类的漏洞，通过内置的PO...

07月11日165 views评论

阅读全文

安全文章

某咖啡站点通过IDOR接管6k美元的账户

在浏览某咖啡站点时，我注意到一个页面加载了来自第三方网站的内容。让我们称此网站为example.com，以免披露。当我在这个网站上做一些研究时，我在example.com/starbucks目录中看到...

07月08日10 views评论

阅读全文

安全文章

渗透信息收集1

信息收集介绍进行web渗透测试之前，最重要的一步那就是就是信息收集了，俗话说“渗透的本质也就是信息收集”，信息收集的深度，直接关系到渗透测试的成败。打好信息收集这一基础可以让测试者选择合适和准确的渗透...

06月29日12 views评论

阅读全文

安全工具

java常用安全漏洞靶场

前言最近在测试IAST的java agent，因此找了一些java的安全靶场，java靶场经常用的主要有下面的一些。 1. WebGoat WebGoat是由OWASP组织研制出的用于进行Web漏洞...

06月25日121 views评论

阅读全文

安全文章

新手上路之信息收集总结

点击蓝字关注我们域名信息根域名资产收集备案查询1.在ICP/IP地址/域名信息备案管理系统输入要查询的单位名称，即可查询所有备案网站资产。2.除此之外，还有一些备案查询网站。ICP备案查询--站长工具...

06月10日15 views评论

阅读全文

安全文章

Scope Discovery信息收集2（史上最全，进来查漏补缺）

本文由uuwan原创翻译《Bug Bounty Bootcamp The Guide to Finding and Reporting Web Vulnerabilities》 by Vickie L...

06月07日22 views评论

阅读全文

代码审计

最近一次攻防中简单的代码审计

前两天在攻防的时候，遇到一个目标，这个目标以前我打过，而且我的webshell还是存活的，但是漏洞修复了。于是我问裁判可以直接进行横向了吗，裁判说不可以，需要有完整可复现的攻击，历史shell不算。当...

06月03日23 views评论

阅读全文

安全百科

文件包含之php、data、file伪协议

前言本文为玲珑安全原创，未经授权不可转载。请进行合法的渗透测试，玲珑安全公众号、芳华绝代安全团队公众号及文章作者不承担任何因利用本文分享的内容而造成的任何后果。文章目录 1、知识点 1.1、PHP...

05月29日107 views评论

阅读全文

0day - NACOS RCE漏洞

NACOS RCE 0day POC分析及复现

敏感信息扫描工具推荐 SecretScraper

Python常见安全问题检查工具

一款强大的安全评估工具-EZ

某咖啡站点通过IDOR接管6k美元的账户

渗透信息收集1

java常用安全漏洞靶场

新手上路之信息收集总结

Scope Discovery信息收集2（史上最全，进来查漏补缺）

最近一次攻防中简单的代码审计

文件包含之php、data、file伪协议

在线咨询

微信