发 帖  
  • 浅析:前端:这里的标签都是普通标签,没有像RCDATA元素(RCDATA elements),有<textarea>和<title>,会做一次HTML编码,所以可以直接插入危险的js代码。后端:没...
    0
    972次阅读
    0条评论
  • BurpSuite在日常渗透测试中占据重要地位,是一款广受认可的渗透测试工具。通过其强大的功能和用户友好的界面,支持安全人员发现和修复Web应用程序中的潜在漏洞。不仅适用于初级渗透测试人员,也为高级安全专家提供了灵活性和...
    0
    1099次阅读
    0条评论
  • Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器。...
    0
    823次阅读
    0条评论
  • 一个简单的Shiro RCE检测和利用脚本。...
    0
    547次阅读
    0条评论
  • 翻看了很多功能点,在一处功能点发现上传接口,并尝试上传文件,发现无法上传,加了白名单。直接选择放弃,继续寻找。在某一个 /GroupMember.aspx?gid= 参数上加上单引号,直接报错,SQL 注入这不就来了么。...
    0
    462次阅读
    0条评论
  • 你的BurpSuite该更新了

    2023-12-27 17:36
    引入了新工具,使在 Burp Suite 中使用 GraphQL API,当 Burp 检测到来自目标的 GraphQL 请求时,它会将 GraphQL 选项卡添加到该请求的消息编辑器中。...
    0
    470次阅读
    0条评论
  • 前段时间很多师傅都在找下边这个工具?作者说了是团队成员不同意,所以没放出来,仅在内部使用。...
    0
    588次阅读
    0条评论
  • FireKylin中文名称叫:火麒麟,其功能是收集操作系统各项痕迹,支持Windows和Linux痕迹收集。其作用是为分析研判安全事件提供操作系统数据。其目的是让任何有上机排查经验和无上机排查经验的人都可以进行上机排查安...
    0
    1033次阅读
    0条评论
  • 自动获取该Host的所有响应体中的Json数据,按键值对生成多行形如a=b的数据,同时还会自动给键设置6位随机值,便于FUZZ时的对比,将生成的结果去重后放置在AllParams标签内。...
    0
    792次阅读
    0条评论
  • 一个安卓渗透工具箱

    2023-11-30 16:21
    在V1版本中,没有在软件里集成工具调用,用termux或mt管理器在安装路径下执行以下命令可调用信息收集、内网穿透、nucli和xray等工具。...
    0
    799次阅读
    0条评论
  • PentestGPT能够解决简单到中等的HackTheBox机器,以及其他CTF挑战。你可以在资源中查看这个例子,我们用它来解决HackTheBox挑战template。...
    0
    1213次阅读
    0条评论
  • JWT渗透姿势一篇通

    2023-11-13 16:04
    Signature是使用指定算法对Header和Payload进行签名生成的,用于验证JWT的完整性和真实性,Signature的生成方式通常是将Header和Payload连接起来然后使用指定算法对其进行签名...
    0
    978次阅读
    0条评论
  • gogo将内网自动化 从某些工具的一键无脑操作提升到有目的的行动策略组, 几乎可以在所有奇怪复杂场景下通过特定的参数组合解决. 甚至在高防护的内网中, 也能进行一定程度的规避与探测....
    0
    492次阅读
    0条评论
  • 到了 2021 年,特斯拉虽然已经在软件安全方面足够重视了,但还是被 Kali Linux 这款神器给攻破了。当然,与黑客不同,安全研究员并不会真的造成破坏,而是通过对真车实施模拟攻击的方式找到系统中的漏洞。这在技术上称...
    0
    1154次阅读
    0条评论
  • 由于该工具基于纯Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地...
    0
    766次阅读
    0条评论
ta 的专栏
关闭

站长推荐 上一条 /7 下一条

返回顶部