1.魔改背景 一个字,就是“懒”,总想着一边上班,一边挖洞,然后各种扫描器都安排上,发现漏洞是越来越少,重...
02月03日36 views评论js文件
敏感信息
针对Vue框架渗透测试-未授权访问目录漏洞【渗透实战+工具开发】
前言(吹水环节)好久不见,最近很忙,自从工作之后就很少挤出时间来写博客了,每天都是干不完的活,特别是现在的七八月份,Hvv和攻防演练一大堆,我作为底层安服,所以更忙。就在上周,我在授权的情况下进行测试...
01月30日376 views评论未授权访问
渗透测试
JS文件信息收集工具-LinkFinder
渗透测试初期信息收集十分重要。在常规性收集完成后,我们往往忽略了一个重要的位置。那便是web的JS文件。在JS文件中往往会暴露出很多的信息,比如一些注释的中铭感信息,内网ip地址泄露等等,而这款工具能...
12月28日62 views评论javascript
信息收集工具
一次对企业内部EHR系统的渗透测试
0x01 渗透前言对EHR系统访问时,首先是需要一个登录的,作为企业员工,大部分系统接入了SSO,该EHR系统为了保证安全性也不例外。因此对该系统的渗透测试基础的前提是————在该系统拥有一个可登录的...
12月21日28 views评论js
插件
对企业内部EHR系统的渗透测试
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。文章来源:先知社区(Icepaper)原文地址:htt...
12月19日48 views评论js文件
渗透测试
实战|一次对企业内部系统的渗透测试
文章首发于:先知社区https://xz.aliyun.com/t/119431、渗透前言对EHR系统访问时,首先是需要一个登录的,作为企业员工,大部分系统接入了SSO,该EHR系统为了保证安全性也不...
12月17日28 views评论js文件
渗透测试
JS文件中的敏感信息+swagger接口测试
免责声明由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
11月07日167 views评论spring
敏感信息
Windows 0 day漏洞利用可绕过JS文件安全告警
研究人员发现一个新的Windows 0day漏洞,攻击者利用该漏洞可以让恶意JS文件绕过mark-of-the-web安全告警。目前已有攻击者将该0day漏洞利用应用于勒索软件攻击。Windows M...
10月30日60 views评论攻击者
漏洞利用
零基础学go-GO黑帽子学习笔记-4.3 利用XSS获取用户输入内容
零基础学goGO黑帽子学习笔记-4.3 利用XSS获取用户输入内容(4.3 使用WebSocket API实现按键记录)WebSocket API近年来,全双工协议WebSocket API日益流行,...
10月26日74 views评论javascript
xss
记一次简单的webpack的src挖掘
戟星安全实验室 忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等本文约750字,...
09月22日580 views评论js文件
未授权
【逆向分析】抖音小程序ttpkg.js文件解包记录
作者论坛账号:l2399007164一、通过Fiddler抓包获取到小程序的配置信息文件,其中包含ttpkg.js文件的路径抓包相信大家肯定已经会了吧,不会的可以参考吾爱和看雪论坛的相关文章二、浏览器...
09月08日597 views评论数据
文件
账号密码前端JS加密爆破的处理方法
1.缘由在某src遇到一个登录时账号密码都加密的网站,但是这个网站存在默认密码,就想着找办法爆破一番。2.找加密js一开始我是采用F12抓登录时的数据包,搜索加密js这种方法。但是,我抓到数据包之后没...
06月07日281 views评论数据包
账号密码
12