购买域名 域名方便人们阅读,用于表示一个或多个 IP 地址。可以购买域名,或者在某些情况下免费获得。 检测 可通过常见防御检测(是/否/部分):是 解释: 根据设计,这会被记录在公共注册日志中。存在各...
重置密码绕过的N种利用姿势
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay...
[比暗网更深的黑暗]关于Mariana Web的一切
⚠️首先⚠️The true identity of Mariana Web⚠️已知域列表⚠️已知 URL 列表⚠️概括警告:禁止转载本文章到自己网站...首先据说马里亚纳网是一个比暗网更深的世界。在...
如何将LFI漏洞从高危升级为严重
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。文章首发于个人博客:https://myb...
TLDHunt:一款功能强大的域名有效性检测工具
关于TLDHunt TLDHunt是一款功能强大的域名有效性检测工具,TLDHunt本质上是一个命令行工具,可以帮助广大研究人员在其线上项目或其他业务进行过程中快速识别可用的域名。通过提供关键字和TL...
在 Meta 起诉 Freenom 后网络钓鱼域陷入困境
与域名注册商Freenom相关的网络钓鱼网站的数量在最近几个月因社交网络巨头Meta提起的诉讼而急剧下降。该诉讼称这家免费域名提供商长期以来一直忽视关于网络钓鱼网站的滥用投诉,同时将那些滥用网站的流量...
TLD与常见文件后缀重复引发的安全问题
01背景近日,谷歌推出了一批新的顶级域(TLD),其中包括.zip和.mov,意味着个人用户可以注册.zip和.mov的顶级域名,很多安全人员对这一举动提出了担忧,认为此举会引入安全隐患。其中讨论最多...
实战 | 绕过 WAF 将存储的 XSS 武器化
在测试漏洞赏金计划时,我注意到我的<u>html injection</u>payload在将其发送到应用程序中反映的每个字段时都有效。然后,我第一次收到弹框的冲动让<i...
钓鱼网站特征分析
随着互联网的普及,人们越来越依赖网络进行各种活动,包括工作、社交、支付等。然而,网络安全问题也随之而来,其中钓鱼攻击是一个常见但危害巨大的问题。钓鱼攻击是指攻击者利用虚假的电子邮件、短信、网站等手段,...
【论文分享】僵尸唤醒:利用域名托管服务对活跃域名进行隐蔽劫持
近年来,DNS托管服务逐渐兴起,为用户带来便捷的同时也引发了新的安全风险。与此同时,过期NS记录(指向不再解析域名的域名服务器)问题也引起了广泛的讨论与研究。本文将二者结合,发现了由DNS托管服务停用...
API Security 思维导图
最近API安全概念停火的,正好前一阵在Twitter上看到一个API安全的思维导图,感觉很全面,在这里稍微总结下。API Securityhttps://dsopas.github.io/M...
在国外SRC挖掘密码重置漏洞总结
前言最近一直在看国外众测的文章,偶尔也逛逛hackerone,发现公布的漏洞中存有不少的逻辑漏洞,毕竟在hackerone上提交漏洞过审之后给的是美元,还是很有诱惑力的。密码找回功能也是老调常谈的一个...