引言蜜罐技术本质上是对网络攻击方进行欺骗的一项技术,通过在服务上布置一些仿真的系统、网络服务、或是模拟一些物联网设备来诱惑攻击方对其实施攻击从而捕获攻击行为、分析攻击手段与方式、或是收集一些攻击者的...
Csrf与Json劫持
Csrf概念Csrf中文名跨站请求伪造,它是通过伪造受信任用户的请求来利用受信任的网站。可以理解为攻击者盗用额了你的身份,以你的名义来发送恶意请求。比如:以你的名义发送邮件,发消息,盗号、转账等等。题...
黑客组织滥用google服务进行网络钓鱼攻击活动
随着电子商务的蓬勃发展,网络钓鱼和数据窃取活动日益猖獗。黑客组织不断寻找新的方法来绕过传统的安全防御检测措施,以获取敏感信息,如信用卡数据、个人身份信息和其他财务信息。在最近的一系列攻击活动中,网络安...
JSONP原理和劫持原理与挖掘方法
免责声明道一安全(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵...
同源策略
同源策略 # 同源策略是目前所有浏览器都实行的一种安全政策。 A网页设置的 Cookie,B网页不能打开,除非这两个网页同源。 所谓同源,是指: 两个网页,协议(protocol)、端口(port)、...
工具 | jsonp-burp-killer
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介jsonp-cors-burp-killer是一款被动扫描检测jso...
writeup:DORABOX靶场CSRF(跨站请求伪造)实验
-013-DoraBox靶场搭建DoraBox地址:https://github.com/0verSp4ce/DoraBox一键建站程序AppServDownload:https://link.zhi...
HW蓝队必备技能-溯源反制
首要条件:拿到攻击IP一、获取到IP与其余信息单位如果部署了蜜罐等反制设备,监测到攻击IP的同时获取到攻击人员其余平台账号信息。目前市面上一些蜜罐设备会利用JSONP劫持漏洞进行反制。什么是JSONP...
一款指纹和蜜罐特征检测拦、截蜜罐请求、对抗浏览器特征追踪浏览器插件|漏洞探测
0x01 工具介绍 高危漏洞资产指纹识别规则103条,蜜罐特征告警规则151条,涉及敏感域名请求(jsonp)、蜜罐网页资源特征、蜜罐对本机特殊软件(如Burpsuite)的探测请求、网站流量分析与跟...
企业src门户站点?看我如何直接打出cookie!
这次src案例,涉及到的是jsonp xss,而jsonp技术,在企业src中非常常见,因此很容易存在漏洞。 对于什么是jsonp呢,我这里就不做解释了,可以看下面这篇文章。 https://www....
从一道CTF学习Service Worker的利用:西湖论剑2020-hardxss
从一道CTF学习Service Worker的利用:西湖论剑2020-hardxss 从一道CTF学习Service Worker的利用:西湖论剑2020-hardxss 题目初探 JSONP 变量覆...
一款用于检测jsonp及cors漏洞的burp插件
简介 一款被动扫描检测jsonp及cors漏洞的burp插件,魔改自https://github.com/YoDiDi/cors-jsonp。优化了JSONP及CORS的检测逻辑,在原有基础上降低了j...
7