近日,一场针对中国公务员的大规模网络钓鱼活动引起了国际安全专家的关注。美国威胁检测、调查和响应工具供应商Securonix揭露了一个隐蔽的网络攻击行动,攻击者利用国内某大型云服务作为攻击平台,在中国政...
JS文件中的敏感信息+swagger接口测试
JS 文件中的敏感信息 实战中会经常遇到很多 js 文件,在 js 文件中很可能会遇到一些敏感信息和路径之类的,遇到路径可以尝试拼接,有可能会遇到未授权的情况等等,也有很多站点是 webpack 打包...
快速查找JS文件中的敏感信息
JS 文件中的敏感信息实战中会经常遇到很多 js 文件,在 js 文件中很可能会遇到一些敏感信息和路径之类的,遇到路径可以尝试拼接,有可能会遇到未授权的情况等等,也有很多站点是 webpack 打包,...
SRC实战:指纹识别->代码执行
一.发现目标 今天不小心渗透测试其它目标时点进了北京外国语大学的一个oa登陆界面 看着有点眼熟,于是去识别了一下指纹 蓝凌OA,老熟人,于是我们用一下历史漏洞打一下这个站 二.漏洞验证 验证漏洞是否可...
在 Kafka UI 中获取远程代码执行的 3 种方法
Kafka UI 是一款流行的开源 Web 应用程序,旨在管理和监控 Apache Kafka 集群。它主要由开发人员和管理员使用,以提供所连接 Kafka 集群的可视化表示。一些用户可能不知道,在默...
ServiceNow UI Jelly模板注入(CVE-2024-4879)POC
POC(Yaml&Python) 话不多说先上POC(Yam-poc由yakit或ProjectDiscovery Cloud Platform生成,Python-poc脚本由chatgpt生...
CVE-2024-32030 Scala反序列化链分析
前言 Kafka UI是Apache Kafka管理的开源Web UI。Kafka UI API允许用户通过指定网络地址和端口连接到不同的Kafka brokers。作为一个独立的功能,它还提供了通过...
甲方安全建设- Velociraptor初体验协助应急响应
其他文章推荐甲方安全建设-内网安全(IDS)甲方安全建设-DevSecOps SCA分析甲方安全建设-利用AI大模型协助安全运营甲方安全建设-利用openrestry动态修复部分漏洞前言刷到顺丰安全发...
API接口安全测试Tips
API接口安全 在日常的测试中,我们会经常看到一些接口文档或接口地址,在数字化时代,API成为了数据交互的核心,但同时也带来了安全问题,本文的思路在于总结一些api方面常见的攻击面。笔者在此方向也是一...
Dashy:一款华丽且强大的仪表板,Homelab的终极主页!
Dashy 是一个开源、高度可定制、易于使用、颜值爆表的仪表板应用程序,笔者此前曾在导航页系列文章中介绍过这款应用,最近重新看了下这个项目,看起来比此前更强大了,特此再次水一遍,希望可以被更多折腾Ho...
Apache Kafka UI反序列化漏洞
0x00 漏洞编号CVE-2024-320300x01 危险等级高危0x02 漏洞概述Kafka UI是Apache Kafka Management的开源Web UI,旨在简化Apache Kafk...
Apache Kafka UI远程代码执行漏洞安全风险通告
漏洞背景 近日,嘉诚安全监测到Apache Kafka UI中存在一个远程代码执行漏洞,漏洞编号分别为:CVE-2024-32030。 Kafka UI是Apache Kafka Management...