点击上方 订阅话题 第一时间了...
05月08日37 views评论cve
漏洞
从开源工具中汲取知识之网页爬虫工具
今天分析了几款网站爬虫开源工具,其主要作用是辅助安全测试人员,测试网站功能,发现网站漏洞,本着学习的原则,通过阅读源码的方式来学习其核心技术,从而有助于我们自身编写相关脚本,在实际的工作中应用它来提升...
05月07日28 views评论xml
网站
干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)
0x01 PDF在漏洞挖掘和红队中的一些攻击姿势1.使用PDF进行XSS攻击一个比较新的攻击点,它的攻击场景其实不算常见,如果有某些站点允许上传PDF、能在线解析PDF并且用户能够在线浏览该PDF文件...
05月05日51 views评论xml
漏洞挖掘
反序列化学习笔记(二)
XmlSerializer 类XmlSerializer是微软自带的序列化类,用于在xml字符串和对象之间相互转化。其命名空间:System.Xml.Serialization,程序集为:System...
05月04日33 views评论class
name
AFL之自定义mutator开发分析
前言:什么是mutator?通过使用根据给定语法执行突变的库来启用结构感知模糊测试,进而达成更细致化模糊数据处理的第三方组件,一般由模糊测试人员自己开发编写。在什么环境下需要mutator?对于xml...
05月03日64 views评论fuzz
xml
从MySQL注入到XPath注入
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
05月01日70 views评论name
payload
vCenter 渗透测试
STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...
04月29日857 views评论http
windows
漏洞复现-Struts2-048 远程命令执行漏洞
0x01 漏洞描述 Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为AS...
04月29日133 views评论xml
漏洞复现
SonarQube自定义规则开发
本篇介绍了如何使用java来进行SonarQube的自定义规则插件的开发基本上就是直接翻译Writing Custom Java Rules 101这个SonarQube的官方Readme内容建议具有...
04月29日安全闲碎251 views评论java
xml
从0到1完全掌握XXE
0x01 前置知识XML定义实体XML 实体允许定义在分析 XML 文档时将由内容替换的标记,这里我的理解就是定义变量,然后赋值的意思一致。就比如一些文件上传的 payload 中就会有。X...
04月28日46 views评论xml
定义
【web渗透基础练习】SQL整型报错注入
SQL注入整型报错注入什么是整型报错注入?1、整型 我们遇到的GET型注入的URL一般为“.php?id=x”,这个x一般为数字形式,但是在解析过程中并非如此。下面我们来看一种PHP文件中关...
04月26日133 views评论sql
web
gitlab漏洞系列-SCIM令牌泄露
gitlab漏洞系列-SCIM令牌泄露声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景...
04月25日58 views评论application
xml
30