payload - 第 5 | CN-SEC 中文网

安全工具

XSS自动化扫描器

1、工具介绍Dalfox 是一个强大的开源工具，专注于自动化，非常适合快速扫描 XSS 缺陷和分析参数。其先进的测试引擎和利基功能旨在简化检测和验证漏洞的过程。 2、主要特点模式：URLSXSSPi...

03月31日25 views评论

阅读全文

安全文章

[历史文章]红队基础设施建设与改造（二）——深入理解sqlmap(下)

本文于2020年12月10日首发，因某些原因删除，现重新上传。本文所述的一切技术仅供网络安全研究学习之用，请勿用于任何的违法及商业用途，否则由此所产生的一切法律后果自负！在上篇中我们分析了sqlmap...

03月30日17 views评论

阅读全文

安全文章

【htb】Chemistry(化学)-靶机渗透

通过信息收集访问5000端口，cif历史cve漏洞反弹shell，获取数据库，利用低权限用户登录，监听端口，开放8080端口，aihttp服务漏洞文件包含，获取root密码hash值，ssh指定登录靶...

03月26日8 views评论

阅读全文

安全新闻

next.js再出严重安全漏洞

受影响资产依赖next.js进行身份验证或安全检查的应用程序。漏洞利用方式该漏洞可通过添加x-middleware-subrequest: middleware标头来绕过 Next.js 的身...

03月26日14 views评论

阅读全文

安全文章

网络安全大模型协助渗透测试挖掘sql注入

在日常工作中发现了一个登录框，话不多说，搞搞看看存不存在SQL注入。输入用户名密码开始抓包，可以看出用户名密码都进行了加密这个时候输入单引号，发现页面报错。输入双引号，页面恢复正常这个时候，可...

03月21日8 views评论

阅读全文

安全工具

【工具分享】Chains漏洞生成&利用 Web 平台

1、工具简介 Java-Chains 是一个 Java Payload 生成与漏洞利用 Web 平台，便于广大安全研究员快速生成 Java Payload，以及对 JNDI 注入、MyS...

03月20日31 views评论

阅读全文

安全文章

记一次绕waf的过程（上）

起因，某位师傅让我帮他绕一下，那就来稍微看看很明显的报错信息，我们可以在hae中上加入这种常规的数据库指纹，被动扫描的时候快速识别数据库通用sqlUnknown column|SQL syntax|j...

03月20日33 views评论

阅读全文

安全文章

SSTI Payload

"{{7*7}}""${7*7}""<%= 7 * 7 %>"原文始发于微信公众号（TtTeam）：SSTI Payload

03月19日4 views评论

阅读全文

中级研判，无偿分享

不喜勿喷，仅供参考注：下面问题我结合chatGPT和个人理解的一些总结的话，不保证精确度，大家用自己的话整理一下 1、给出一个1433端口的字节流形式的告警数据包你会如何分析首先，1433端口是m...

03月19日HW&HVV30 views评论

阅读全文

安全工具

【红队】一款java漏洞集合工具

工具介绍一款java漏洞集合工具之前攻防的时候，总是需要打开多个jar包，觉得很麻烦，就做了一款集合工具。其中包含Struts2、Fastjson、Weblogic（xml）、Shiro、Log...

03月18日36 views评论

阅读全文

安全文章

自动化渗透测试新思路：基于AI的攻击路径规划与漏洞利用

摘要在网络安全领域，自动化漏洞扫描工具一直是安全专家和开发者的得力助手。然而，传统的扫描工具往往局限于固定的规则和模式，难以应对日益复杂的Web应用攻击面。今天，我们要介绍一个由GitHub用户fai...

03月18日16 views评论

阅读全文

SRC漏洞挖掘のXSS漏洞挖掘

1. XSS漏洞简介 XSS（Cross-Site Scripting，跨站脚本攻击）是一种常见的Web安全漏洞。它通过在目标网站上注入恶意脚本，使用户浏览器在执行这些脚本时，实现窃取用户信息、会话劫...

03月18日安全文章8 views已关闭评论

阅读全文