暂无搜索历史
“ 不知攻,焉知防。很多年前大家就会讨论先学攻击,还是先学防守,这些年下来,我还是觉得应该先学攻击,防守的学习都是从攻击经验中学习的,防守思路也是从攻击思路中去...
net user administrator //查看administrator账户的信息
本文针对js漏洞挖掘,其实从JavaScript中挖掘,也就是在js中挖掘敏感的接口漏洞,我们一共需要两个步骤,一个是通过工具进行js搜集,第二步就要利用工具进...
我们面对一个网站的时候,就需要对网站特征进行提取,这样我们就可以进行fofa之类的批量查询,可能其他网站就存在信息泄露。
这里花了一点时间去写了一个Google的url采集工具,目前仅有谷歌,后面会增添更多的渠道,支持代理设置,可以增加代理池,可以用于快速挖洞
我们想要进行免杀的研究,我们首先就需要进行杀毒软件的分析,杀毒软件将我们木马查杀,有以下几个方面
本次文章介绍的是svn源码泄露漏洞,这种类型的漏洞一般会将网站的源码泄露,其中也可能会包含了数据库的密码,导致网站可能被代码审计,或者直接数据库泄露。
在挖掘 SRC 的时候,面对一些 SSO 的场景,经常会看到一些奇奇怪怪的数据,这些数据多以三段式加密方式呈现,在后续的学习过程中,明白了此类令牌名为 Toke...
最近很火的幻兽帕鲁,我这两天也是小小体验了一把,我只能说,通宵了两晚上,是有点上头,但是这个游戏官方目前给出的是试营业,而且有些时候官服还链接不上,这里我紧跟潮...
首先来介绍一下这个伪协议,JavaScript伪协议最重要的,其实就是可以用来执行js的代码,哪些地方可以用呢,
“ 了解一个漏洞的本质,会更有利于我们去分析,这个文章包含漏洞分析带你初步了解一下浏览器对于我们漏洞产生造成的影响。”
这是一个比较有意思的研究,就是一个网站的数据返回包中,如果没有设置content-type这个数据头的话,而且内容是可操控,那么我们就可以利用MIME让浏览器把...
Fuzz Testing (模糊测试)是一种测试方法,即构造一系列无规则的“坏”数据(“坏”数据:非正常数据)插入应用程序,判断程序是否出现异常,以发现潜在的b...
首先,ssrf漏洞是利用对方服务器执行,其漏洞的形成原因一般是因为web服务取引用了外部的文件或者url,服务器对于数据没有过滤或者检测是否合法性的话,这里黑客...
这个是来自于hackerone自己的漏洞,赏金直接给到了25000美元,毫不吝啬的给到了严重级别的评级,没有降级。(没有对比没有伤害)
靶机地址:https://download.vulnhub.com/hackerkid/Hacker_Kid-v1.0.1.ova
这里是一个比较有意思的注入漏洞,是一个搜索框的注入漏洞,也是我们平时测试中可能会忽略的一点。
很多经常挖洞的都知道hackerone这个国外平台,国内的src只能用SunnyBoy的首字母形容,国外的挖洞给的钱基本是国内的十倍。那么我们平...
学习,总是一步步进行的,公众号近期的内容,对于一些初学者,稍微有一些难度,或者暂时用不到,这里我也会穿插更新一些简单的小学习。
暂未填写公司和职称
暂未填写技能专长