点击蓝字关注我们域前置介绍域前置又译为域名幌子,是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。...
API安全检测自动化工具
介绍作者:Ske 联合开发:Chhyx 定位:辅助甲方安全人员巡检网站资产,发现并分析API安全问题 功能:通过提取自动加载和静态地址中的JS和页面内容,解析Webpack打包和使用正则匹配技术,发现...
【工具推荐】API安全检测自动化工具
郑重声明:文中所涉及的技术、思路和工具仅供以安全检测、安全辅助建设为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担。 介绍 作者:Ske 联合开发:Chhyx 定位:辅...
免杀对抗从0开始(十)
🔥师傅您好:为了确保您不错过我们的最新网络安全资讯、技术分享和前沿动态,请将我们设为星标🌟!这样,您就能轻松追踪我们的每一篇精彩内容,与我们一起共筑网络安全防线!感谢您的支持与关注!💪免责声明:文章所...
利用 WinRM 进行隐秘横向移动的技术
概述在这篇文章中,我将介绍如何使用 WinRM 在 Active Directory 网络内横向移动并尝试融入噪音。虽然 WinRM 确实允许你运行远程命令,但如果不将有效载荷(例如 Mimikatz...
使用burpsuite爆破带有验证码和随机uuid的密码的一次经验
参考https://www.trenchesofit.com/2022/01/16/burp-suite-custom-parameter-handler/技术:burpsuite Macro、cus...
KeePass敏感信息明文传输漏洞复现
前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。如果文章中的漏洞出现敏感内容产生了部分影响,请及时联系作者,望谅解。一、漏洞描述...
Manus被扒光,Prompt都惨遭泄露
简单回顾一下这次这个事情,大概在3月初,3月6号的样子,Manus发布了号称第一个通用型的人工智能体。随后就被各种热炒,当然树大招风。随后在3月10号就在X(twitter)上被网友爆料出来其存在安全...
洞态IAST对SpringBoot项目扫描API接口的实现方法
1►前言洞态 IAST 团队开发项目API导航功能。本文以SpringBoot项目为例,对其进行所有API接口的扫描。2►环境jdk11SpringBoot2.x3►原理1.找到SpringBoot所...
Spring-Core RCE分析
迟来的SpringMVC 框架RCE分析。本文章简单介绍了SpringMVC框架请求处理流程,并以此对漏洞进行了分析与复现。框架浅析SpringMVC其本质上是一个Servlet,它的请求处理主要是在...
可用于参数研究的TOP25漏洞参数
0x01 parameter介绍 参考各种文章,使用频率前Top25个漏洞参数,这些参数可用于自动化工具或根据自己的参数方便地使用。 0x02 parameter详情 此包含以下漏洞的常见参数: 跨站...
【Java安全】浅谈内存马
0x01 内存马概述1.1 内存马产生的背景在早期,web应用的安全防护非常有限,webshell都是以文件落地形式存在,攻击者通过文件上传或者命令执行等漏洞将木马文件上传到磁盘中,然后找到上传的路径...