前言文章首发于先知社区:https://xz.aliyun.com/t/16919项目地址:https://github.com/SwagXz/encrypt-labs作者:SwagXz现在日子越来越...
利用雪花算法生成的资源ID是否可以预测
前言在一次测试过程中,发现了一处越权漏洞,其资源ID看起来是无序的,但是每个资源ID之间又有一点联系,因此就想去看看这种ID到底是否可以去预测。查找了一些资料这些资源ID是使用了雪花算法生成的。雪花算...
从一个文件ID 到 PII 泄漏:使用AI挖掘数据
全文共计2946字,预计阅读15分钟您是否曾花费很长时间寻找就在面前的钥匙?安全研究的感觉是一样的——你知道错误就在那里,隐藏在众目睽睽之下。关于漏洞搜寻的问题是这样的:它很少是为了寻找新颖的零日漏洞...
LLM 在网络安全中的实际应用案例(第一部分)
Practical Use Cases for LLM’s in cyber security (part 1)首先我要声明,我不是一名开发人员。我自己写过的代码很少(在 2000 年代中期写过一些小...
加密对抗靶场enctypt-labs通关
对Xz师傅的js加密靶场的通关记录,本人纯web菜鸡,写出来的东西仅供参考,谢谢师傅们了!01—AES固定key抓包发现数据传输被加密了,直接搜索加密字段定位到算法位置简单的分析,就是一个固定key ...
NPS反制:绕过登陆验证
NPS- 一款轻量级、高性能、功能强大的内网穿透代理服务器1.前言看了师傅的一个文章,感觉挺有意思的,尝试记录下来,结尾有"惊吓"GitHub下载NPS的releases:https://github...
渗透实战|NPS反制之绕过登陆验证
NPS- 一款轻量级、高性能、功能强大的内网穿透代理服务器 1.前言 看了师傅的一个文章,感觉挺有意思的,尝试记录下来,结尾有"惊吓" GitHub下载NPS的releases:http...
劣质软件养活了某xx网络安全公司,说的就是你
摘要尽管已经有无数的框架、最佳实践和技术博客,但仍然有大量开发者在代码中硬编码凭证信息。主要发现2023年10月至2024年9月期间共发布了37,439个CVE这些CVE被分配了35,346个CWE(...
低版本SpringBoot-SpEL表达式注入漏洞复现分析
低版本SpringBoot-SpEL表达式注入漏洞复现分析影响版本SpringBoot 1.1.0-1.1.12SpringBoot 1.2.0-1.2.7SpringBoot 1.3.0利用条件是使...
某大学CMS系统通杀之 SQL注入绕过
免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删...
[工具推荐]前端加解密之Burp插件Galaxy
前言 渗透测试中,经常遇到HTTP报文加密/加签传输的情况,这导致想要查看和修改明文报文很不方便,使用Burp插件Galaxy可以有效解决部分场景下的这个问题,实现自动加解密,在HTTP...
JS逆向
Attacker安全航天日JS逆向渗透测试中经常会遇到JavaScript的加密数据,这时候就需要就需要进行JS逆向解密,那什么是JS逆向,即JavaScript逆向工程,是一种针对使用JavaScr...