match - 第 2 | CN-SEC 中文网

安全文章

如何通过搜索JS文件找到存储XSS的故事

前言一次渗透测试中，白帽小哥发现了 2 处 CSRF 漏洞，但不幸的是 CSRF 不在赏金范围内。于是小哥开始尝试搜索JS文件，白帽小哥通常的做法是利用Chrome的开发者工具搜索特定的关键字或A...

03月15日9 views评论

阅读全文

安全百科

BurpSuite使用Trips-304状态码解决

起因做渗透的时候发现js文件请求都是304。原因是请求头存在两个请求头If-None-Match: W/"67652d7f-2cf4"If-Modified-Since: Fri, 20 Dec 20...

03月11日40 views评论

阅读全文

安全工具

【红队】一款用于渗透中检测网站CDN/WAF/云的工具

工具介绍 cdncheck 是一款用于检测给定 IP 地址的各种技术的实用程序。工具使用 Usage: ./cdncheck [flags]Flags:INPUT:-i, -input strin...

03月05日39 views评论

阅读全文

安全文章

我是如何通过搜索 JS 文件来获得存储的 XSS

您好朋友，我要谈谈我在 Bugcrowd 的一个私人 bug 赏金计划中发现的一个简单的 Stored XSS 漏洞，方法是在 JS 文件中搜索任何隐藏的目录。在程序应用程序中徘徊并尝试通过在每个输...

02月27日42 views评论

阅读全文

安全新闻

Mongoose 搜索注入漏洞 CVE-2024-53900 到 CVE-2025-23061

漏洞简介CVE-2024-53900 Mongoose 8.8.3、7.8.3 和 6.13.5 之前的版本容易受到 $where 运算符不当使用的影响。此漏洞源于 $where 子句能够在 Mong...

02月20日66 views评论

阅读全文

安全文章

ReDos与preg_match某些场景下的绕过

前几天帮A同学看了一段PHP代码，发现了其中一个可被绕过的点，问题点代码大概是：这段代码似曾相识，它的作用主要是通过正则表达式（"<?"之后不能再有`;?>这几个字符中的任意一个）来判断我...

02月20日23 views评论

阅读全文

安全文章

BloodHound 自定义查询简介

【翻译】A short Introduction to BloodHound Custom Queries在我的上一篇博客文章中，我已经展示了如何与 BloodHound CE 交互以及使用一些 Cy...

02月08日32 views评论

阅读全文

安全文章

常见的WAF绕过方法 (从网络架构层、HTTP协议层、第三方应用层分析)

本篇文章通过网络架构层、HTTP协议层、第三方应用层讲解了绕过WAF的常见方法一、网络架构层一般通过域名指向云WAF地址后反向实现代理，找到这些公司的服务器的真实IP即可实现绕过具体方法如下:1、查...

01月13日86 views评论

阅读全文

安全开发

Python 强大的模式匹配工具—Pampy

来自公众号：Python实用宝典在自然语言处理界，模式匹配可以说是最常用的技术。甚至可以说，将NLP技术作为真实生产力的项目都少不了模式匹配。什么是模式匹配呢？在计算机科学中，往往是检查给定的序列或字...

01月11日9 views评论

阅读全文

安全博客

DevTools里的JSFinder与油猴脚本

目录前言通过html源码里的各种连接获取子域名实现jsfinder获取所有接口JSFinder油猴脚本前言于前天在推特上看到Hpdoger师傅转了一个推：是一个人分享了一段javascript代...

12月24日15 views评论

阅读全文

安全文章

奇淫巧计-科学计数法绕过preg_match和==

0x02 函数/特性说明 1.preg_match()函数定义：执行一个正则表达式匹配语法：preg_math（pattern,string,matches,flags）pattern...

12月06日10 views评论

阅读全文

安全文章

自动化patch shellcode到EXE实现免杀

前言最近二开CS顺便学习二进制研究之前的工具，看到了很早之前的工具shellter，细看之下感觉虽然是很多年前的工具，但思想完全不输现在的各种loader，核心思路应该是分析PE文件执行流，然后在某...

11月21日40 views评论

阅读全文

如何通过搜索JS文件找到存储XSS的故事

BurpSuite使用Trips-304状态码解决

【红队】一款用于渗透中检测网站CDN/WAF/云的工具

我是如何通过搜索 JS 文件来获得存储的 XSS

Mongoose 搜索注入漏洞 CVE-2024-53900 到 CVE-2025-23061

ReDos与preg_match某些场景下的绕过

BloodHound 自定义查询简介

常见的WAF绕过方法 (从网络架构层、HTTP协议层、第三方应用层分析)

Python 强大的模式匹配工具—Pampy

DevTools里的JSFinder与油猴脚本

奇淫巧计-科学计数法绕过preg_match和==

自动化patch shellcode到EXE实现免杀

在线咨询

微信