matches | CN-SEC 中文网

安全文章

渗透测试JS接口Fuzz场景研究

渗透测试中当页面功能点过少无处可测,或者攻防、SRC场景下开局一个登录框尝试弱口令,爆破、注入无果后针对JS接口寻找未授权信息泄露成为了得分关键前端Webpack接口Vue框架并且使用Webpack打...

06月13日14 views评论

阅读全文

安全文章

【攻防实战】渗透测试JS接口Fuzz场景研究

来自船山院士网络安全团队核心成员SRC大佬：月的原创。渗透测试中当页面功能点过少无处可测,或者攻防、SRC场景下开局一个登录框尝试弱口令、爆破、注入无果后针对JS接口寻找未授权信息泄露成为了得分关键...

06月01日20 views评论

阅读全文

代码审计

代码快速审计详解

根据敏感函数来逆向追踪参数的传递过程,是目前使用得最多的种方式，因为大多数漏洞是由于函数的使用不当造成的,另外非函数使用不当的漏洞，如SQL注入，也有一些特征，比如Select. Insert等...

02月22日15 views评论

阅读全文

安全工具

网站指纹识别工具：WhatWeb 解析及指纹编写

一、WhatWeb 概述WhatWeb 是 Kali 操作系统中一款基于 Ruby 语言开发的网站指纹识别工具。它功能强大，能够精准识别众多 Web 技术，涵盖内容管理系统（CMS）、博客平台、统计与...

01月22日42 views评论

阅读全文

代码审计

代码审计之逃不过的命运

噩耗传来就这样被你征服，喝下你藏好的毒。。。。真的是爆头【抱头】唱征服。亡羊补牢反手就做个更新。漏洞复现 • 后台增加可执行的语句。 • 创建非管理组的用户 • 换浏览器登录选...

01月06日15 views评论

阅读全文

安全文章

原创 | 浅谈Apache与CVE-2023-20860

前言一般情况下，开发者配置鉴权时，可能都会遵循一个原则，就是“优先使用/**认证兜底”，明确哪些接口无需认证，而不是明确哪些接口需要认证。在Spring Controller中,以下两个路由访问是等价...

10月07日11 views评论

阅读全文

安全文章

渗透实战 | JS文件怎么利用

1.前言关于JS在渗透测试中的关键作用，想必不用过多强调，在互联网上也有许多从JS中找到敏感信息从而拿下关键系统的案例。大部分师傅喜欢使用findsomething之类的浏览器插件，也有使用诸如Une...

09月22日30 views评论

阅读全文

安全文章

【SRC】我们需要从JS文件里提取哪些信息？

09月21日35 views评论

阅读全文

安全文章

我们需要从JS文件里提取哪些信息？

09月13日101 views评论

阅读全文

安全工具

【安全工具】快速提取URL、domain、ip工具

工具概述 MoreFind一款用于快速导出URL、Domain和IP的小工具，功能挺多的，可以自行探索。工具使用 MoreFind is a very rapid script for...

02月15日17 views评论

阅读全文

安全文章

命令注入漏洞CVE-2022-26258复现

一漏洞信息◆CVE编号：CVE-2022-26258◆漏洞描述：D-Link DIR-820L 1.05B03 was discovered to contain remote command exe...

07月24日42 views评论

阅读全文

SecIN安全技术社区

浅谈Apache与CVE-2023-20860

一、前言一般情况下，开发者配置鉴权时，可能都会遵循一个原则，就是"优先使用/**认证兜底，明确哪些接口无需认证，而不是明确哪些接口需要认证。在Spr...

07月12日65 views已关闭评论

阅读全文

渗透测试JS接口Fuzz场景研究

【攻防实战】渗透测试JS接口Fuzz场景研究

代码快速审计详解

网站指纹识别工具：WhatWeb 解析及指纹编写

代码审计之逃不过的命运

原创 | 浅谈Apache与CVE-2023-20860

渗透实战 | JS文件怎么利用

【SRC】我们需要从JS文件里提取哪些信息？

我们需要从JS文件里提取哪些信息？

【安全工具】快速提取URL、domain、ip工具

命令注入漏洞CVE-2022-26258复现

浅谈Apache与CVE-2023-20860

在线咨询

微信